Otázka :I když je iptables vypnuto pomocí ‘chkconfig –level 345 iptables off’, ‘service iptables status’ stále zobrazuje některá pravidla iptables po každém restartu.
Odpověď
Proces Libvirtd přidá pravidla iptables do iptables při spuštění libvirtd. iptables se spustí při spuštění libvirtd, i když bylo iptables dříve zakázáno. Tato pravidla neovlivní konfiguraci brány firewall pro fyzickou síť. Pokud se nepoužívá prostředí xen, nejsou tato pravidla vůbec potřeba. V prostředí bez xenu je bezpečné vypnout službu libvirtd spuštěním:
# chkconfig --level 345 libvirtd off # service libvirtd stop
Jak zabránit spuštění iptables při spuštění libvirtd
Když používáte Red Hat Enterprise Linux 5 s jádrem Xen, bude démon libvirtd nastaven jako výchozí. „libvirtd“ je démon, který spustí příkaz /usr/sbin/libvirtd a bude sledovat fyzický stav sítě na serveru a konfiguraci v /etc/libvirt/qemu/network, aby vytvořil některá pravidla iptables, jako například:
# service iptables status Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination Chain POSTROUTING (policy ACCEPT) num target prot opt source destination 1 MASQUERADE all -- 192.168.122.0/24 !192.168.122.0/24 Chain OUTPUT (policy ACCEPT) num target prot opt source destination Table: filter Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67 Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED 2 ACCEPT all -- 192.168.122.0/24 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) num target prot opt source destination
1. Zkontrolujte, zda je služba libvirtd povolena během spouštění a spuštění.
# chkconfig --list libvirtd libvirtd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
# /etc/init.d/libvirtd status libvirtd (pid 3895) is running...Poznámka :Služba libvirtd je zodpovědná za spouštění iptables, i když bylo iptables dříve zakázáno.
2. Zastavte libvirtd a chkconfig jej vypněte, abyste zabránili načítání iptables.
# chkconfig --level 345 libvirtd off # service libvirtd stop
3. Restartujte hostitele a ověřte.
Poznámka :Pokud nepoužíváte xen kernel na Oracle Linux pro hostování VM, je bezpečné vypnout libvirtd .Poznámka :Bylo zjištěno, že ukotvitelný panel služba také spouští službu iptables.