ファイアウォールルールの置き換え

私は何年にもわたって、iptablesを構成するinitスクリプトを使用してきましたが、今まではそれが大胆な方法で機能してきました。10.04から12.04にアップグレードした後、ルールセットが破損しているファイアウォールの問題が発生し始めました。遊んでみたところ、次のルールが設定されていることがわかりました。

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

自分のファイアウォールスクリプトを完全に無効にしても、私の最初の考えはufwが何らかの形でアクティブだったということでした-しかしそれはそうではありません：

# ufw status
Status: inactive

関連している場合と関連していない場合がありますが、この問題は、kvmを実行しているマシンでしか見られません。

これを実行している可能性があること、およびこれらの不要なルールを追加しているものを無効にする方法へのポインタは誰にもありますか？

将来これを探している人のために編集してください：これらのミステリーiptablesルールをlibvirtに明確にリンクするソースをようやく見つけました：http : //libvirt.org/firewall.html

マルチホームマシンですか？192.168.122.0/24 CIDRには何がありますか？その範囲内からIPの1つをリッスンするインターフェースはありますか？私はおそらく出力を見てみます：

grep -R 192.168.122 /etc

関連する設定があるかどうかを確認し、/ etc / cron *のcronエントリも確認します

アドレス空間192.168.122は、kvmによって一般的に使用されます。これについては、libvirtサイトで詳細を確認できます。

libvirt

すべての情報があります。

ブート時にufwが有効になっている可能性があり、ルールを設定してから非アクティブになります。ルールがイーサネットinitスクリプトにハードコードされている可能性があります。それともKVMですか？なぜ気にするの？rootからiptablesコマンドを実行不可にchmodして、スクリプトでのみ有効にします。