Reemplazar las reglas de mi firewall

10

He tenido un script de inicio durante muchos años que configura iptables para mí y ha funcionado como un campeón hasta ahora. Después de actualizar de 10.04 a 12.04, comencé a tener problemas de firewall donde los conjuntos de reglas se estaban corrompiendo. Después de jugar un poco, descubrí que algo establece las siguientes reglas:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

incluso cuando he desactivado por completo mi propio script de firewall. Mi primer pensamiento fue que ufw estaba de alguna manera activa, pero no lo es:

# ufw status
Status: inactive

Puede o no estar relacionado, pero solo he visto este problema en máquinas en las que estoy ejecutando kvm.

¿Alguien tiene consejos sobre lo que podría estar haciendo esto y cómo deshabilitar lo que sea que esté agregando estas reglas no deseadas?

Edite para las personas que buscan esto en el futuro: finalmente encontré una fuente que vincula definitivamente estas misteriosas reglas de iptables con libvirt: http://libvirt.org/firewall.html

firewall iptables init.d Snowhare
fuente

Respuestas:

1

¿Es una máquina multi-home? ¿Qué hay en el 192.168.122.0/24 CIDR? ¿Hay una interfaz escuchando en una de las IPs dentro de ese rango? Probablemente intente mirar la salida de:

grep -R 192.168.122 /etc

para averiguar si hay alguna configuración relacionada con él y también verificar las entradas cron en / etc / cron *

Marcin Kaminski
fuente
El 192.168.122 está saliendo de virbr0 (creado por KVM). Lo que me causa más dolor de cabeza son los cambios en las reglas predeterminadas. Mi firewall utiliza DROP predeterminado. Los cambios usan ACEPTAR predeterminado. Por lo general, termino con un conjunto de reglas de basura donde las reglas predeterminadas son mías, pero las reglas específicas son las anteriores. Como resultado, el firewall bloquea casi todo.
Snowhare
1

El espacio de direcciones 192.168.122 es comúnmente utilizado por kvm. Puede ver más sobre esto en el sitio libvirt.

libvirt

Ahí tiene toda la información.

lucianosds
fuente
1
Bienvenido a Ask Ubuntu! Si bien esto puede responder teóricamente la pregunta, sería preferible incluir aquí las partes esenciales de la respuesta y proporcionar el enlace para referencia.
Braiam
-1

Puede que ufw esté habilitado en el arranque, establezca las reglas y luego se inactive. Puede ser que las reglas estén codificadas en el script de inicio de ethernet. O KVM? ¿Por qué importa? Simplemente haga que el comando iptables no pueda ejecutarse desde la raíz con chmody habilítelo solo en su script.

Barafu Albino
fuente
Esa no es una buena solución propuesta. Simplemente enmascararía el síntoma al romper la funcionalidad del sistema en lugar de solucionar el problema subyacente. Es como proponer "arreglar" una señal de giro rota en un automóvil que no se apaga tirando del fusible.
Snowhare