Substituindo minhas regras de firewall

10

Eu tenho um script init há muitos anos que configura o iptables para mim e funcionou como um campeão até agora. Após a atualização do 10.04 para o 12.04, comecei a ter problemas de firewall nos quais os conjuntos de regras estavam sendo corrompidos. Depois de algumas brincadeiras, descobri que algo está definindo as seguintes regras:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

mesmo quando eu desabilitei completamente meu próprio script de firewall. Meu primeiro pensamento foi ufw de alguma forma ativo - mas não é:

# ufw status
Status: inactive

Pode ou não estar relacionado, mas eu só vi esse problema nas máquinas em que estou executando o kvm.

Alguém tem dicas sobre o que poderia estar fazendo isso e como desativar o que está adicionando essas regras indesejadas?

Edite para pessoas que procuram isso no futuro: finalmente localizei uma fonte que vincula definitivamente essas regras misteriosas do iptables à libvirt: http://libvirt.org/firewall.html

firewall iptables init.d Snowhare
fonte

Respostas:

1

É uma máquina multi-homed? O que há no CIDR 192.168.122.0/24? Existe uma interface ouvindo um dos IPs dentro desse intervalo? Eu provavelmente tentaria olhar para a saída de:

grep -R 192.168.122 /etc

para descobrir se há alguma configuração relacionada a ele e também verificar as entradas do cron em / etc / cron *

Marcin Kaminski
fonte
O 192.168.122 está saindo do virbr0 (criado pelo KVM). O que está me causando mais dor de cabeça são as alterações nas regras padrão. Meu firewall usa a DROP padrão. As alterações usam o padrão ACCEPT. Normalmente, acabo com um conjunto de regras de lixo em que as regras padrão são minhas, mas as regras específicas são as acima. Resultando no firewall bloqueando quase tudo.
Snowhare
1

O espaço de endereço 192.168.122 é comumente usado pelo kvm. Você pode ver mais sobre isso no site libvirt.

libvirt

Tem todas as informações.

lucianosds
fonte
1
Bem-vindo ao Ask Ubuntu! Embora isso possa teoricamente responder à pergunta, seria preferível incluir aqui as partes essenciais da resposta e fornecer o link para referência.
Braiam
-1

Pode ser que o ufw esteja ativado na inicialização, defina as regras e fique inativo. Pode ser que as regras sejam codificadas no script init ethernet. Ou KVM's? Por que se importar? Apenas faça com que o comando iptables fique irrecorrível a partir do root chmode ative-o apenas no seu script.

Barafu Albino
fonte
Essa não é uma boa solução proposta. Isso apenas mascara o sintoma, interrompendo a funcionalidade do sistema, em vez de corrigir o problema subjacente. É como propor 'consertar' um pisca-pisca quebrado em um carro que não se apaga puxando o fusível.
Snowhare