LINUX.ORG.RU
ФорумAdmin

Не могу найти откуда iptables берёт свои правила на старте

 , ,


0

1

Какой-то из снесённых файерволов «наследил», оставив после своего удаления подгрузку в iptables своих правил на старте системы. Мне хотелось бы их отредактировать, но не могу найти откуда они берутся. Грепнул частью выдачи iptables-save

grep -sR -I «dport 53 -j ACCEPT» /

Это ничего не дало.

grep -sR -I «iptables» /lib/systemd/system/ Тоже бестолку. Менял искомые выражения - тоже не помогло.

service iptables stop

service iptables restart

загружают правила из /etc/sysconfig/iptables , что уже даёт какие-то надежды. Но при перезагрузке всё по-новой - откуда-то грузятся какие-то непотребные правила. Нужно либо сервис их загрузки убить, либо его отредактировать. Подскажите, пожалуйста, как его найти. Спасибо.


Ответ на: комментарий от neci

Но при перезагрузке всё по-новой - откуда-то грузятся какие-то непотребные правила

Непотребные - это какие?

Deleted ()
Ответ на: комментарий от Deleted

# Generated by iptables-save v1.4.21 on Wed Nov 15 15:28:49 2017
*mangle
:PREROUTING ACCEPT [9398:7541139]
:INPUT ACCEPT [9398:7541139]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8115:1203340]
:POSTROUTING ACCEPT [8385:1245677]
-A POSTROUTING -o virbr0 -p udp -m udp --dport 68 -j CHECKSUM --checksum-fill
COMMIT
# Completed on Wed Nov 15 15:28:49 2017
# Generated by iptables-save v1.4.21 on Wed Nov 15 15:28:49 2017
*nat
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [653:62525]
:POSTROUTING ACCEPT [653:62525]
-A POSTROUTING -s 192.168.122.0/24 -d 224.0.0.0/24 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 -d 255.255.255.255/32 -j RETURN
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.122.0/24 ! -d 192.168.122.0/24 -j MASQUERADE
COMMIT
# Completed on Wed Nov 15 15:28:49 2017
# Generated by iptables-save v1.4.21 on Wed Nov 15 15:28:49 2017
*filter
:INPUT ACCEPT [9400:7541404]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [8117:1203605]
-A INPUT -i virbr0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -i virbr0 -p udp -m udp --dport 67 -j ACCEPT
-A INPUT -i virbr0 -p tcp -m tcp --dport 67 -j ACCEPT
-A FORWARD -d 192.168.122.0/24 -o virbr0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.122.0/24 -i virbr0 -j ACCEPT
-A FORWARD -i virbr0 -o virbr0 -j ACCEPT
-A FORWARD -o virbr0 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i virbr0 -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -o virbr0 -p udp -m udp --dport 68 -j ACCEPT
COMMIT
# Completed on Wed Nov 15 15:28:49 2017

neci ()

Но при перезагрузке всё по-новой - откуда-то грузятся какие-то непотребные правила.

Вполне может какой-нибудь особо умный сервис подгружать. Емнип, либвирт что-то такое делает, если используется NAT для вм.

Deleted ()
Ответ на: комментарий от Deleted

Виртуальных машин нет, VMware, virtualbox - не установлены, был установлен пакет open-vm-tools. Удалил, перезагрузился. Та же песня.

neci ()

ставил vm host при установке или позднее kvm устанавливал

af5 ★★★★★ ()
Ответ на: комментарий от Deleted

Нет его в дефолтной инсталляции, просто кто-то галок понатыкал в инсталляторе.

Deleted ()
Ответ на: комментарий от Kuzz

Дело решенное) спасибо!

Всем спасибо за помощь!

Вы были правы.

Решил так:

systemctl stop libvirtd

systemctl disable libvirtd

Теперь главное - не забыть что и как отключил, а то появится ещё какая-нибудь новая тема)

neci ()
Ответ на: Дело решенное) спасибо! от neci

Re: Дело решенное) спасибо!

что за дебильная привычка вырезать куски лога: ума не хватило правило целиком показать в стартовом посте, а не оставлять 53 -j ACCEPT.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.