CentOS 8의 신비한 iptable 규칙

CentOS 8의 신비한 iptable 규칙

시스템 재부팅 시 iptable 규칙을 따릅니다. 에는 정의되어 있지 않습니다 /etc/sysconfig/iptables.

나는 그들이 어디서 왔는지 알 수 없습니다. 실제로 정의된 규칙은 /etc/sysconfig/iptables테이블에도 없으므로 제외됩니다(이전 섹션 참조).

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:53
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:53
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:67
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED
ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:68

문제를 제거 firewalld하고 nftables디버깅했지만 차이는 없습니다. 나는 iptables또한 그것을 비활성화했습니다.

[root@dan ~]# systemctl status firewalld
Unit firewalld.service could not be found.
[root@dan ~]# systemctl status nftables
Unit nftables.service could not be found.
[root@dan ~]# systemctl status iptables
iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; disabled; vendor preset: disabled)
Active: inactive (dead)

도커가 의심되지만 비활성화되어 있습니다.

[root@dan ~]# systemctl status docker
systemctl status dockerdocker.service - Docker Application Container Engine
   Loaded: loaded (/usr/lib/systemd/system/docker.service; disabled; vendor preset: disabled)
   Active: inactive (dead)
     Docs: https://docs.docker.com

또한 일치하는 텍스트/규칙을 찾으려고 노력했지만 /etc운이 좋지 않았습니다.

[root@dan ~]# find /etc -type f -exec grep "192.168.122.0" {} /dev/null \;

재부팅하면 iptables올바르게 로드되므로 /etc/sysconfig/iptables부팅 순서에 문제가 있는 것 같습니다.

[root@dan ~]# systemctl restart iptables
[root@dan ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
 

이를 디버깅하는 방법에 대한 아이디어나 통찰력이 있습니까?

관련 정보