ファイアウォールルールの置き換え


10

私は何年にもわたって、iptablesを構成するinitスクリプトを使用してきましたが、今まではそれが大胆な方法で機能してきました。10.04から12.04にアップグレードした後、ルールセットが破損しているファイアウォールの問題が発生し始めました。遊んでみたところ、次のルールが設定されていることがわかりました。

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

自分のファイアウォールスクリプトを完全に無効にしても、私の最初の考えはufwが何らかの形でアクティブだったということでした-しかしそれはそうではありません:

# ufw status
Status: inactive

関連している場合と関連していない場合がありますが、この問題は、kvmを実行しているマシンでしか見られません。

これを実行している可能性があること、およびこれらの不要なルールを追加しているものを無効にする方法へのポインタは誰にもありますか?

将来これを探している人のために編集してください:これらのミステリーiptablesルールをlibvirtに明確にリンクするソースをようやく見つけました:http : //libvirt.org/firewall.html

回答:


1

マルチホームマシンですか?192.168.122.0/24 CIDRには何がありますか?その範囲内からIPの1つをリッスンするインターフェースはありますか?私はおそらく出力を見てみます:

grep -R 192.168.122 /etc

関連する設定があるかどうかを確認し、/ etc / cron *のcronエントリも確認します


192.168.122はvirbr0(KVMによって作成)から取得されます。最も頭痛の種となっているのは、デフォルトのルールの変更です。ファイアウォールはデフォルトのDROPを使用しています。変更はデフォルトのACCEPTを使用します。私は通常、デフォルトのルールが自分のものであるガベージルールセットで終了しますが、具体的なルールは上記です。その結果、ファイアウォールがほとんどすべてをブロックします。
スノーヘア

1

アドレス空間192.168.122は、kvmによって一般的に使用されます。これについては、libvirtサイトで詳細を確認できます。

libvirt

すべての情報があります。


1
Ask Ubuntuへようこそ!これは理論的には質問に答える可能性がありますが、答えの本質的な部分をここに含め、参照用のリンクを提供することが望ましいでしょう
Braiam 2013

-1

ブート時にufwが有効になっている可能性があり、ルールを設定してから非アクティブになります。ルールがイーサネットinitスクリプトにハードコードされている可能性があります。それともKVMですか?なぜ気にするの?rootからiptablesコマンドを実行不可にchmodして、スクリプトでのみ有効にします。


それは良い提案された解決策ではありません。根本的な問題を修正するのではなく、システム機能を破壊することで症状を隠すだけです。それは、ヒューズを引いてもオフにならない車の壊れたウインカーを「修正」することを提案するようなものです。
スノーヘア2013年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.