질문: iptables변경할 수 없습니다. 내 컴퓨터에서 iptables -F.shows를 실행할 수 있습니다 iptables -L. 플러시되었습니다.
패킷이 시스템에 들어오거나 나갈 때 모든 규칙이 복원됩니다! 을 실행하면 동일한 동작이 발생합니다 iptables-restore < new_settings. 그들은 잠시 동안 거기에 머물다가 패킷이 들어오자마자 iptables원래 상태로 돌아갑니다.
나는 그것을 사용하고 있다더반 8운영 체제는 다음에서 파생됩니다.데비안 7. 다른 사람의 컴퓨터인 것으로 밝혀졌습니다.
확인해보니 다음 중 하나일 거라고 생각했습니다.
iptables-persistent존재하지 않는다/etc/iptables/존재하지 않는다- 프로세스를 보면 이름에
systemctl아무것도 들어 있지 않습니다 .ip
/# systemctl --all | grep ip run-rpc_pipefs.mount loaded active mounted /run/rpc_pipefs systemd-initctl.socket loaded active listening /dev/initctl Compatibility Named Pipe
# firewalld시스템에 없습니다.
시스템 구성을 변경하는 서비스나 사물을 어디에서 찾을 수 있습니까?
답변1
.Fedora를 사용하면 audit기본적으로 이를 활성화할 수 있으며 NETFILTER_CFG 행으로 로그가 넘칠 것입니다.
이 질문을 보세요:
실행 중인 iptables 구성에 대한 변경 사항을 감사합니다.
표시된 예에서 관련 프로세스는 이며 iptables아마도 별로 도움이 되지 않을 것입니다. 그러나 이는 또한 ppid상위 프로세스(명백한 프로세스도 포함 pid)를 기록합니다.
상위 프로세스인 경우반품지금 나가세요...
acct프로세스 계정(패키지)을 사용하면 기존 프로세스(명령)의 이름을 쉽게 추적할 수 있습니다 . lastcomm그러나 생각보다 덜 일반적입니다. 나는 여기서 "bash"를 생각하고 있습니다.
프로그램 실행을 포함하여 열린 파일을 추적하는 데 가장 적합합니다 fatrace. grep을 통해 파이핑을 시도하지 마십시오. 출력이 생성되지 않으며 이유를 모르겠습니다.
아직 하나 있어요페이지에서execsnoop. 프로그램이나 제안된 대안을 사용할 수 있다면 설명하기가 가장 쉬울 것입니다.
기술적으로는 허용하지 않습니다 . 하지만 넷필터 규칙을 만들지 않는 fork()타당한 이유는 생각할 수 없습니다 .fork()exec()
답변2
긴 이야기 짧게구성 파일이 지속적으로 변경되는 이상한 문제가 발생하면 파일을 확인하십시오 (이미 구성을 /etc/network/if-*.d확인한 경우 ).systemd
iptables명령(또는 실제로 무엇이든)을 변경하는 또 다른 옵션은 인터넷 연결에 따라 변경되는 if-up.d또는 폴더에 있는 것으로 나타났습니다 .if-down.d
내부에 /etc/network/폴더가 있어 보관 등을 할 수 있습니다 if-pre-up.d.if-up.d
if-*각각에는 조건이 충족될 때 실행되는 스크립트 세트가 포함되어 있습니다. 따라서 인터넷 연결이 변경될 때마다(이는 에서 변경된 것으로 보임 ) iptables iptables의 파일을 사용하여 iptables를 재설정하는 스크립트를 실행합니다 ./sbin/iptables-restore < /etc/network/iptablesiptables/etc/network/