Pregunta :A pesar de que iptables está APAGADO usando 'chkconfig –level 345 iptables off', 'service iptables status' todavía muestra algunas reglas de iptables después de cada reinicio.
Respuesta
El proceso de Libvirtd agregará reglas de iptables a iptables al iniciar libvirtd. iptables se ejecutará al iniciar libvirtd, incluso si iptables se deshabilitó antes. Estas reglas no afectarán la configuración del firewall para la red física. Si no se utiliza el entorno xen, estas reglas no son necesarias en absoluto. En un entorno que no sea xen, es seguro desactivar el servicio libvirtd ejecutando:
# chkconfig --level 345 libvirtd off # service libvirtd stop
Cómo evitar que iptables se inicie cuando se inicia libvirtd
Al usar Red Hat Enterprise Linux 5 con el kernel Xen, el demonio libvirtd se configurará de forma predeterminada. “libvirtd” es un demonio, que ejecutará el comando /usr/sbin/libvirtd y seguirá el estado de la red física en el servidor y la configuración en /etc/libvirt/qemu/network para crear algunas reglas de iptables, como:
# service iptables status Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination Chain POSTROUTING (policy ACCEPT) num target prot opt source destination 1 MASQUERADE all -- 192.168.122.0/24 !192.168.122.0/24 Chain OUTPUT (policy ACCEPT) num target prot opt source destination Table: filter Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67 Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED 2 ACCEPT all -- 192.168.122.0/24 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) num target prot opt source destination
1. Compruebe si el servicio libvirtd está habilitado durante el arranque y la ejecución.
# chkconfig --list libvirtd libvirtd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
# /etc/init.d/libvirtd status libvirtd (pid 3895) is running...Nota :El servicio libvirtd es responsable de iniciar iptables incluso si iptables se deshabilitó antes.
2. Detenga libvirtd y chkconfig OFF para evitar que cargue iptables.
# chkconfig --level 345 libvirtd off # service libvirtd stop
3. Reinicie el host y verifique.
Nota :A menos que esté usando xen kernel en Oracle Linux para alojar máquinas virtuales, es seguro desactivar libvirtd .Nota :Se ha notado que docker service también inicia el servicio iptables.