Domanda :Anche se iptables è disattivato usando 'chkconfig –level 345 iptables off', 'service iptables status' mostra ancora alcune regole di iptables dopo ogni riavvio.
Risposta
Il processo Libvirtd aggiungerà le regole di iptables in iptables all'avvio di libvirtd. iptables verrà eseguito all'avvio di libvirtd, anche se iptables era stato disabilitato in precedenza. Queste regole non influiranno sulla configurazione del firewall per la rete fisica. Se l'ambiente xen non viene utilizzato, queste regole non sono affatto necessarie. In un ambiente non Xen, è sicuro disattivare il servizio libvirtd eseguendo:
# chkconfig --level 345 libvirtd off # service libvirtd stop
Come impedire l'avvio di iptables all'avvio di libvirtd
Quando si utilizza Red Hat Enterprise Linux 5 con il kernel Xen, il demone libvirtd sarà impostato per impostazione predefinita. "libvirtd" è un demone, che eseguirà il comando /usr/sbin/libvirtd e seguirà lo stato della rete fisica sul server e la configurazione in /etc/libvirt/qemu/network per creare alcune regole di iptables, come:
# service iptables status Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination Chain POSTROUTING (policy ACCEPT) num target prot opt source destination 1 MASQUERADE all -- 192.168.122.0/24 !192.168.122.0/24 Chain OUTPUT (policy ACCEPT) num target prot opt source destination Table: filter Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67 Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED 2 ACCEPT all -- 192.168.122.0/24 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) num target prot opt source destination
1. Controlla se il servizio libvirtd è abilitato durante l'avvio e l'esecuzione.
# chkconfig --list libvirtd libvirtd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
# /etc/init.d/libvirtd status libvirtd (pid 3895) is running...Nota :Il servizio libvirtd è responsabile dell'avvio di iptables anche se iptables era disabilitato in precedenza.
2. Interrompi libvirtd e chkconfig su OFF per impedirgli di caricare iptables.
# chkconfig --level 345 libvirtd off # service libvirtd stop
3. Riavvia l'host e verifica.
Nota :A meno che tu non stia utilizzando xen kernel su Oracle Linux per l'hosting di VM, è sicuro disattivare libvirtd .Nota :È stato notato che docker service avvia anche il servizio iptables.