Remplacement de mes règles de pare-feu

10

J'ai un script d'init depuis de nombreuses années qui configure iptables pour moi et il a fonctionné comme un champion jusqu'à présent. Après la mise à niveau de 10.04 vers 12.04, j'ai commencé à avoir des problèmes de pare-feu où les ensembles de règles étaient corrompus. Après avoir joué, j'ai découvert que quelque chose établissait les règles suivantes:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

même lorsque j'ai complètement désactivé mon propre script de pare-feu. Ma première pensée était que ufw était en quelque sorte active - mais ce n'est pas le cas:

# ufw status
Status: inactive

Il peut être lié ou non, mais je n'ai vu ce problème que sur les machines sur lesquelles j'utilise kvm.

Quelqu'un at-il des indications sur ce qui pourrait être fait et comment désactiver tout ce qui ajoute ces règles indésirables?

Edit pour les personnes à la recherche de cela dans le futur: j'ai finalement trouvé une source qui relie définitivement ces règles mystères iptables à libvirt: http://libvirt.org/firewall.html

firewall iptables init.d Snowhare
la source

Réponses:

1

Est-ce une machine multi-hébergée? Que contient le CIDR 192.168.122.0/24? Existe-t-il une interface à l'écoute sur l'une des adresses IP de cette plage? J'essaierais probablement de regarder la sortie de:

grep -R 192.168.122 /etc

pour savoir s'il y a une configuration qui s'y rapporte et aussi vérifier les entrées cron dans / etc / cron *

Marcin Kaminski
la source
Le 192.168.122 sort de virbr0 (créé par KVM). Ce qui me cause le plus de maux de tête, ce sont les modifications apportées aux règles par défaut. Mon pare-feu utilise DROP par défaut. Les modifications utilisent ACCEPT par défaut. Je me retrouve généralement avec un ensemble de règles garbage où les règles par défaut sont les miennes, mais les règles spécifiques sont les ci-dessus. Il en résulte que le pare-feu bloque presque tout.
Snowhare
1

L'espace d'adressage 192.168.122 est couramment utilisé par kvm. Vous pouvez en savoir plus à ce sujet sur le site libvirt.

libvirt

Il y a toutes les infos.

lucianosds
la source
1
Bienvenue sur Ask Ubuntu! Bien que cela puisse théoriquement répondre à la question, il serait préférable d'inclure ici les parties essentielles de la réponse et de fournir le lien de référence.
Braiam
-1

Peut être ufw est activé au démarrage, définit les règles, puis devient inactif. Peut-être que les règles sont codées en dur dans le script d'initialisation Ethernet. Ou KVM? Pourquoi s'en soucier? Rendez simplement la commande iptables impossible à exécuter à partir de root avec chmodet activez-la uniquement dans votre script.

Barafu Albino
la source
Ce n'est pas une bonne solution proposée. Cela masquerait simplement le symptôme en cassant les fonctionnalités du système plutôt que de résoudre le problème sous-jacent. C'est comme proposer de «réparer» un clignotant cassé sur une voiture qui ne s'éteindra pas en tirant le fusible.
Snowhare