Mengganti aturan firewall saya

10

Saya telah memiliki skrip init selama bertahun-tahun yang mengonfigurasi iptables untuk saya dan telah berfungsi seperti juara sampai sekarang. Setelah memutakhirkan dari 10,04 menjadi 12,04 saya mulai mengalami masalah firewall di mana pengaturan aturan sedang rusak. Setelah beberapa bermain-main saya menemukan bahwa ada sesuatu yang menetapkan aturan berikut:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

bahkan ketika saya telah sepenuhnya menonaktifkan skrip firewall saya sendiri. Pikiran pertama saya adalah ufw entah bagaimana aktif - tetapi tidak:

# ufw status
Status: inactive

Mungkin terkait atau tidak, tetapi saya hanya melihat masalah ini pada mesin yang saya jalankan kvm.

Apakah ada yang punya petunjuk tentang apa yang bisa melakukan ini dan cara menonaktifkan apa pun yang menambahkan aturan yang tidak diinginkan ini?

Edit untuk orang yang mencari ini di masa depan: Saya akhirnya menemukan sumber yang secara pasti menghubungkan aturan iptables misteri ini ke libvirt: http://libvirt.org/firewall.html

firewall iptables init.d Snowhare
sumber

Jawaban:

1

Apakah ini mesin multi-rumahan? Apa yang ada di CIDR 192.168.122.0/24? Apakah ada antarmuka yang mendengarkan pada salah satu IP dari dalam rentang itu? Saya mungkin akan mencoba melihat output dari:

grep -R 192.168.122 /etc

untuk mengetahui apakah ada konfigurasi yang terkait dengannya dan juga memeriksa entri cron di / etc / cron *

Marcin Kaminski
sumber
192.168.122 keluar dari virbr0 (dibuat oleh KVM). Yang paling membuat saya sakit kepala adalah perubahan pada aturan default. Firewall saya menggunakan DROP default. Perubahan menggunakan ACCEPT default. Saya biasanya berakhir dengan aturan sampah di mana aturan default adalah milik saya, tetapi aturan spesifiknya adalah di atas. Mengakibatkan firewall memblokir hampir semua hal.
Snowhare
1

Ruang alamat 192.168.122 biasanya digunakan oleh kvm. Anda dapat melihat lebih banyak tentang ini di situs libvirt.

libvirt

Ada semua info.

lucianosds
sumber
1
Selamat Datang di Tanya Ubuntu! Sementara ini secara teoritis dapat menjawab pertanyaan, akan lebih baik untuk memasukkan bagian-bagian penting dari jawaban di sini, dan menyediakan tautan untuk referensi.
Braiam
-1

Mungkin ufw diaktifkan saat boot, menetapkan aturan dan kemudian menjadi tidak aktif. Mungkin aturannya berupa kode-keras ke skrip init ethernet. Atau KVM? Mengapa peduli Buat saja perintah iptables tidak dapat dihapus dari root dengan chmoddan aktifkan hanya di skrip Anda.

Barafu Albino
sumber
Itu bukan solusi yang disarankan. Itu hanya akan menutupi gejala dengan memutus fungsi sistem daripada memperbaiki masalah yang mendasarinya. Ini seperti mengusulkan untuk 'memperbaiki' sinyal belok yang rusak pada mobil yang tidak mau mati dengan menarik sekring.
Snowhare