การแทนที่กฎไฟร์วอลล์ของฉัน

10

ฉันมีสคริปต์เริ่มต้นเป็นเวลาหลายปีที่กำหนดค่า iptables ให้ฉันและมันทำงานเหมือนแชมป์จนตอนนี้ หลังจากอัปเกรดจาก 10.04 เป็น 12.04 ฉันเริ่มมีปัญหาไฟร์วอลล์ที่ชุดกฎได้รับความเสียหาย หลังจากเล่นไปรอบ ๆ ฉันก็พบว่ามีบางอย่างที่ตั้งกฎต่อไปนี้

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

แม้ว่าฉันจะปิดการใช้งานสคริปต์ไฟร์วอลล์ของตัวเองอย่างสมบูรณ์ ความคิดแรกของฉันคือ ufw ใช้งานได้ แต่มันไม่ใช่:

# ufw status
Status: inactive

อาจเกี่ยวข้องหรือไม่เกี่ยวข้องกัน แต่ฉันเห็นปัญหานี้ในเครื่องที่ฉันใช้ kvm เท่านั้น

ใครบ้างที่มีพอยน์เตอร์สำหรับสิ่งที่สามารถทำได้และจะปิดการใช้งานสิ่งใดก็ตามที่เพิ่มกฎที่ไม่พึงประสงค์เหล่านี้หรือไม่

แก้ไขสำหรับคนที่มองหาสิ่งนี้ในอนาคต: ในที่สุดฉันก็พบแหล่งที่เชื่อมโยงกฎ iptables ลึกลับเหล่านี้กับ libvirt: http://libvirt.org/firewall.html

firewall  iptables  init.d 
Snowhare
แหล่งที่มา

คำตอบ:

1

เป็นเครื่องที่ใช้หลายบ้านไหม? 192.168.122.0/24 CIDR คืออะไร มีอินเทอร์เฟซที่ฟังบนหนึ่งใน IPs จากภายในช่วงนั้นหรือไม่? ฉันอาจลองดูผลลัพธ์ของ:

grep -R 192.168.122 /etc

เพื่อตรวจสอบว่ามีการกำหนดค่าที่เกี่ยวข้องหรือไม่และตรวจสอบรายการ cron ใน / etc / cron *

Marcin Kaminski
แหล่งที่มา
192.168.122 กำลังมาจาก virbr0 (สร้างโดย KVM) สิ่งที่ทำให้ฉันปวดหัวที่สุดคือการเปลี่ยนแปลงกฎเริ่มต้น ไฟร์วอลล์ของฉันใช้ DROP เริ่มต้น การเปลี่ยนแปลงใช้การยอมรับเริ่มต้น ฉันมักจะจบลงด้วยชุดกฎขยะที่กฎเริ่มต้นเป็นของฉัน แต่กฎเฉพาะข้างต้น ส่งผลให้ไฟร์วอลล์บล็อกเกือบทุกอย่าง
Snowhare
1

พื้นที่แอดเดรส 192.168.122 มักใช้โดย kvm คุณสามารถดูข้อมูลเพิ่มเติมเกี่ยวกับสิ่งนี้ได้ในไซต์ libvirt

libvirt

มีข้อมูลทั้งหมด

lucianosds
แหล่งที่มา
1
ยินดีต้อนรับสู่ถาม Ubuntu! ในขณะที่สิ่งนี้อาจตอบคำถามในทางทฤษฎีมันก็ควรที่จะรวมส่วนสำคัญของคำตอบที่นี่และให้ลิงค์สำหรับการอ้างอิง
Braiam
-1

อาจเปิดใช้ ufw เมื่อบู๊ตตั้งกฎแล้วจึงไม่ทำงาน อาจเป็นกฎที่เขียนโค้ดลงในสคริปต์ init ของอีเทอร์เน็ต หรือของ KVM ทำไมต้องแคร์ เพียงแค่ทำให้คำสั่ง iptables ไม่สามารถเข้าถึงได้จากรูทด้วยchmodและเปิดใช้งานเฉพาะในสคริปต์ของคุณ

Barafu Albino
แหล่งที่มา
นั่นไม่ใช่ทางออกที่ดีที่เสนอ มันจะปกปิดอาการโดยการทำลายการทำงานของระบบแทนที่จะแก้ไขปัญหาพื้นฐาน มันเหมือนกับการเสนอให้ 'แก้ไข' สัญญาณเลี้ยวขาดบนรถที่จะไม่ปิดโดยการดึงฟิวส์
Snowhare
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.