मेरे फ़ायरवॉल नियमों को बदलना


10

मेरे पास कई सालों से एक इनइटी स्क्रिप्ट है जो मेरे लिए iptables कॉन्फ़िगर करती है और इसने अब तक एक विजेता की तरह काम किया है। 10.04 से 12.04 तक अपग्रेड करने के बाद मुझे फ़ायरवॉल की समस्याएँ होने लगीं जहाँ नियमों को दूषित किया जा रहा था। कुछ खेलने के बाद मुझे पता चला कि कुछ निम्नलिखित नियम निर्धारित कर रहा है:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

यहां तक ​​कि जब मैंने अपनी फ़ायरवॉल स्क्रिप्ट को पूरी तरह से अक्षम कर दिया है। मेरा पहला विचार ufw किसी तरह सक्रिय था - लेकिन यह नहीं है:

# ufw status
Status: inactive

यह संबंधित हो सकता है या नहीं भी हो सकता है, लेकिन मैंने केवल मशीनों पर इस समस्या को देखा है जिस पर मैं केवीएम चला रहा हूं।

क्या किसी के पास संकेत है कि यह क्या कर सकता है और जो कुछ भी इन अवांछित नियमों को जोड़ रहा है उसे कैसे निष्क्रिय किया जाए?

भविष्य में इसे ढूंढ रहे लोगों के लिए संपादित करें: मैंने आखिरकार एक स्रोत स्थित किया जो निश्चित रूप से इन रहस्य iptables नियमों को libvirt से जोड़ता है: http://libvirt.org/firewall.html

जवाबों:


1

क्या यह मल्टी-होम मशीन है? 192.168.122.0/24 CIDR पर क्या है? क्या उस श्रेणी में से किसी एक IP पर एक इंटरफ़ेस सुन रहा है? मैं शायद इसके आउटपुट को देखने की कोशिश करूंगा:

grep -R 192.168.122 /etc

यह पता लगाने के लिए कि क्या इससे संबंधित कोई विन्यास है और / etc / cron * में क्रोन प्रविष्टियों की भी जाँच करें


192.168.122 कुंवारी (KVM द्वारा बनाई गई) बंद हो रही है। जो मुझे सबसे अधिक सिरदर्द पैदा कर रहा है वह है डिफ़ॉल्ट नियमों में बदलाव। मेरा फ़ायरवॉल डिफ़ॉल्ट DROP का उपयोग करता है। परिवर्तन डिफ़ॉल्ट ACCEPT का उपयोग करते हैं। मैं आमतौर पर एक कचरा नियम के साथ समाप्त होता हूं जहां डिफ़ॉल्ट नियम मेरे होते हैं, लेकिन विशिष्ट नियम ऊपर हैं। लगभग सब कुछ अवरुद्ध फ़ायरवॉल में परिणाम।
स्नोहेयर

1

पता स्थान 192.168.122 आमतौर पर kvm द्वारा उपयोग किया जाता है। आप इसके बारे में libvirt साइट में अधिक देख सकते हैं।

libvirt

सारी जानकारी है।


1
उबंटू पूछने के लिए आपका स्वागत है! जब भी यह सैद्धांतिक रूप से प्रश्न का उत्तर दे सकता है, तो उत्तर के आवश्यक भागों को शामिल करना और संदर्भ के लिए लिंक प्रदान करना बेहतर होगा
Braiam

-1

हो सकता है ufw बूट पर सक्षम हो, नियम सेट करता है और फिर निष्क्रिय हो जाता है। हो सकता है कि नियमों को ईथरनेट इनिट स्क्रिप्ट में हार्ड-कोड किया गया हो। या KVM का? ध्यान क्यों? बस iptables कमांड को रूट से unrunnable बनाएं chmodऔर इसे केवल अपनी स्क्रिप्ट में सक्षम करें।


यह एक अच्छा प्रस्तावित समाधान नहीं है। यह सिर्फ अंतर्निहित समस्या को ठीक करने के बजाय सिस्टम की कार्यक्षमता को तोड़कर लक्षण को मुखौटा बना देगा। यह एक कार पर टूटे हुए टर्न सिग्नल को 'फिक्स' करने का प्रस्ताव करने जैसा है जो फ्यूज को खींचकर बंद नहीं करेगा।
स्नोहारे
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.