私は何年にもわたって、iptablesを構成するinitスクリプトを使用してきましたが、今まではそれが大胆な方法で機能してきました。10.04から12.04にアップグレードした後、ルールセットが破損しているファイアウォールの問題が発生し始めました。遊んでみたところ、次のルールが設定されていることがわかりました。
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED
ACCEPT all -- 192.168.122.0/24 0.0.0.0/0
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
自分のファイアウォールスクリプトを完全に無効にしても、私の最初の考えはufwが何らかの形でアクティブだったということでした-しかしそれはそうではありません:
# ufw status
Status: inactive
関連している場合と関連していない場合がありますが、この問題は、kvmを実行しているマシンでしか見られません。
これを実行している可能性があること、およびこれらの不要なルールを追加しているものを無効にする方法へのポインタは誰にもありますか?
将来これを探している人のために編集してください:これらのミステリーiptablesルールをlibvirtに明確にリンクするソースをようやく見つけました:http : //libvirt.org/firewall.html