Ersetzen meiner Firewall-Regeln

10

Ich habe seit vielen Jahren ein Init-Skript, das iptables für mich konfiguriert, und es hat bis jetzt wie ein Champion funktioniert. Nach dem Upgrade von 10.04 auf 12.04 hatte ich Firewall-Probleme, bei denen die Regelsätze beschädigt waren. Nach einigem Herumspielen stellte ich fest, dass etwas die folgenden Regeln festlegt:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

selbst wenn ich mein eigenes Firewall-Skript vollständig deaktiviert habe. Mein erster Gedanke war, dass ufw irgendwie aktiv war - aber es ist nicht:

# ufw status
Status: inactive

Es kann oder kann nicht verwandt sein, aber ich habe dieses Problem nur auf Maschinen gesehen, auf denen ich kvm laufen lasse.

Hat jemand Hinweise darauf, was dies tun könnte und wie man das Deaktivieren dieser unerwünschten Regeln deaktiviert?

Bearbeiten für Leute, die dies in Zukunft suchen: Ich habe endlich eine Quelle gefunden, die diese mysteriösen iptables-Regeln definitiv mit libvirt verknüpft: http://libvirt.org/firewall.html

Schneehase
quelle

Antworten:

1

Ist es eine Multi-Homed-Maschine? Was ist auf dem 192.168.122.0/24 CIDR? Gibt es eine Schnittstelle, die eine der IPs aus diesem Bereich abhört? Ich würde wahrscheinlich versuchen, die Ausgabe von:

grep -R 192.168.122 /etc

um herauszufinden, ob eine Konfiguration damit verbunden ist, und um die Cron-Einträge in / etc / cron * zu überprüfen

Marcin Kaminski
quelle
Der 192.168.122 kommt von virbr0 (erstellt von KVM). Was mir am meisten Kopfschmerzen bereitet, sind die Änderungen an den Standardregeln. Meine Firewall verwendet Standard-DROP. Die Änderungen verwenden die Standardeinstellung ACCEPT. Normalerweise habe ich einen Garbage-Regelsatz, in dem die Standardregeln meine sind, aber die spezifischen Regeln sind die oben genannten. Dies führt dazu, dass die Firewall fast alles blockiert.
Schneehase
1

Der Adressraum 192.168.122 wird üblicherweise von kvm verwendet. Weitere Informationen hierzu finden Sie auf der libvirt-Website.

libvirt

Es hat alle Infos.

lucianosds
quelle
1
Willkommen bei Ask Ubuntu! Während dies theoretisch die Frage beantworten kann, wäre es vorzuziehen , die wesentlichen Teile der Antwort hier aufzunehmen und den Link als Referenz bereitzustellen.
Braiam
-1

Möglicherweise wird ufw beim Booten aktiviert, legt die Regeln fest und wird dann inaktiv. Möglicherweise sind die Regeln fest in das Ethernet-Init-Skript codiert. Oder KVMs? Warum sich darum kümmern? Machen Sie den Befehl iptables einfach von root mit nicht ausführbar chmodund aktivieren Sie ihn nur in Ihrem Skript.

Barafu Albino
quelle
Das ist keine gute vorgeschlagene Lösung. Es würde nur das Symptom maskieren, indem die Systemfunktionalität unterbrochen wird, anstatt das zugrunde liegende Problem zu beheben. Es ist, als würde man vorschlagen, einen defekten Blinker an einem Auto zu reparieren, das sich nicht durch Ziehen der Sicherung ausschalten lässt.
Schneehase