Güvenlik duvarı kurallarımı değiştirme

10

Benim için iptables yapılandırmak yıllardır bir init betiği vardı ve şimdiye kadar bir şampiyon gibi çalıştı. 10.04'ten 12.04'e yükselttikten sonra, kural kümelerinin bozulduğu güvenlik duvarı sorunları yaşamaya başladım. Biraz oynadıktan sonra bir şeyin aşağıdaki kuralları belirlediğini keşfettim :

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

kendi güvenlik duvarı betiğimi tamamen devre dışı bıraktığımda bile. İlk düşüncem ufw bir şekilde aktifti - ama değil:

# ufw status
Status: inactive

İlişkili olabilir veya olmayabilir, ancak bu sorunu yalnızca kvm üzerinde çalıştığım makinelerde gördüm.

Herkes bu ne olabilir ve bu istenmeyen kuralları ekleyen ne devre dışı bırakmak için işaretçiler var mı?

Gelecekte bunu arayan insanlar için düzenleyin: Sonunda bu gizemli iptables kurallarını libvirt'e kesin olarak bağlayan bir kaynak buldum: http://libvirt.org/firewall.html

firewall  iptables  init.d 
Snowhare
kaynak

Yanıtlar:

1

Çok evli bir makine mi? 192.168.122.0/24 CIDR'de neler var? Bu aralık içindeki IP'lerden birini dinleyen bir arayüz var mı? Muhtemelen şu çıktılara bakmaya çalışacağım:

grep -R 192.168.122 /etc

bununla ilgili herhangi bir yapılandırma olup olmadığını öğrenmek ve / etc / cron * içindeki cron girdilerini kontrol etmek için

Marcin Kaminski
kaynak
192.168.122 virbr0'dan (KVM tarafından yaratılmıştır) geliyor. En çok başımıza neden olan şey, varsayılan kurallardaki değişikliklerdir. Güvenlik duvarım varsayılan DROP kullanıyor. Değişiklikler varsayılan KABUL kullanır. Genellikle varsayılan kuralların benim olduğu bir çöp kural kümesi ile sonuçlanırım, ancak belirli kurallar yukarıdadır. Sonuç olarak güvenlik duvarı neredeyse her şeyi engelliyor.
Snowhare
1

192.168.122 adres alanı yaygın olarak kvm tarafından kullanılır. Bununla ilgili daha fazla bilgiyi libvirt sitesinde bulabilirsiniz.

libvirt

Tüm bilgiler var.

lucianosds
kaynak
1
Ubuntu'ya Sor hoş geldiniz! Bu teorik olarak soruyu cevaplayabilse de , cevabın temel kısımlarını buraya dahil etmek ve referans için bağlantı sağlamak tercih edilir.
Braiam
-1

Ufw önyüklemede etkinleştirilebilir, kuralları belirler ve sonra devre dışı kalır. Kurallar ethernet init betiğine sabit kodlanmış olabilir. Yoksa KVM? Neden önemsiyorsun? Sadece iptables komutunu root ile çalıştırılamaz yapın chmodve sadece betiğinizde etkinleştirin.

Barafu Albino
kaynak
Bu iyi bir çözüm değil. Altta yatan sorunu düzeltmek yerine sistem işlevselliğini bozarak semptomu maskeleyecektir. Bu, sigortayı çekerek kapanmayacak bir arabanın kırık bir dönüş sinyalini 'düzeltmeyi' önermek gibidir.
Snowhare
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.