免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 程序设计 内核源码 iptables开机规则恢复疑问
最近访问板块 发新帖
查看: 1398 | 回复: 2
打印 上一主题 下一主题

[网络子系统] iptables开机规则恢复疑问 [复制链接]

linuxlearning4R

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2016-05-31 20:07 |只看该作者 |倒序浏览
本帖最后由 linuxlearning4RMB 于 2016-05-31 20:09 编辑

iptables开机规则恢复疑问

第一步,清除所有的规则
  3 iptables -F
  4 iptables -X
  5 iptables -Z
  6 iptables -t nat -F
  7 iptables -t nat -X
  8 iptables -t nat -Z
  9 iptables -t mangle -F
10 iptables -t mangle -X
11 iptables -t mangle -Z

第二步,保存规则
service iptables save
实际上是保存到/etc/sysconfig/iptables

根据网上说的,reboot以后 机器会 自动 通过iptables-restore把/etc/sysconfig/iptables恢复回去
/sbin/service iptables save
This executes the iptables init script, which runs the /sbin/iptables-save program and writes the current iptables configuration to /etc/sysconfig/iptables. The existing /etc/sysconfig/iptables file is saved as /etc/sysconfig/iptables.save.

The next time the system boots, the iptables init script reapplies the rules saved in /etc/sysconfig/iptables by using the /sbin/iptables-restore command.


但是,我重启以后,实际上,机器并没有恢复我们原来保存的规则,而是出来一些很奇怪的规则:
[root@localhost ~]# iptables -vnL
Chain INPUT (policy ACCEPT 74 packets, 7368 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:53
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:53
    0     0 ACCEPT     udp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            udp dpt:67
    0     0 ACCEPT     tcp  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            tcp dpt:67

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      virbr0  0.0.0.0/0            192.168.122.0/24     ctstate RELATED,ESTABLISHED
    0     0 ACCEPT     all  --  virbr0 *       192.168.122.0/24     0.0.0.0/0           
    0     0 ACCEPT     all  --  virbr0 virbr0  0.0.0.0/0            0.0.0.0/0           
    0     0 REJECT     all  --  *      virbr0  0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable
    0     0 REJECT     all  --  virbr0 *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT 69 packets, 8540 bytes)
pkts bytes target     prot opt in     out     source               destination   




请问:
为什么reboot以后iptables不是空的(第一、第二步已经清空保存了)?
virbr0这个网卡是怎么回事,实际上并没有与之对应的物理网卡?



附件:/etc/sysconfig/iptables文件内容
[root@localhost ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.21 on Tue May 31 19:39:51 2016
*raw
REROUTING ACCEPT [2176:159300]
:OUTPUT ACCEPT [1836:159588]
COMMIT
# Completed on Tue May 31 19:39:51 2016
# Generated by iptables-save v1.4.21 on Tue May 31 19:39:51 2016
*nat
REROUTING ACCEPT [1:229]
:INPUT ACCEPT [1:229]
:OUTPUT ACCEPT [0:0]
OSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Tue May 31 19:39:51 2016
# Generated by iptables-save v1.4.21 on Tue May 31 19:39:51 2016
*mangle
REROUTING ACCEPT [170:11641]
:INPUT ACCEPT [170:11641]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [143:12692]
OSTROUTING ACCEPT [143:12692]
COMMIT
# Completed on Tue May 31 19:39:51 2016
# Generated by iptables-save v1.4.21 on Tue May 31 19:39:51 2016
*filter
:INPUT ACCEPT [170:11641]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [143:12692]
COMMIT
# Completed on Tue May 31 19:39:51 2016
nswcfd

论坛徽章:
20
程序设计版块每日发帖之星 日期:2015-08-17 06:20:00程序设计版块每日发帖之星 日期:2016-07-16 06:20:00程序设计版块每日发帖之星 日期:2016-07-18 06:20:00每日论坛发贴之星 日期:2016-07-18 06:20:00黑曼巴 日期:2016-12-26 16:00:3215-16赛季CBA联赛之江苏 日期:2017-06-26 11:05:5615-16赛季CBA联赛之上海 日期:2017-07-21 18:12:5015-16赛季CBA联赛之青岛 日期:2017-09-04 17:32:0515-16赛季CBA联赛之吉林 日期:2018-03-26 10:02:16程序设计版块每日发帖之星 日期:2016-07-15 06:20:0015-16赛季CBA联赛之江苏 日期:2016-07-07 18:37:512015亚冠之萨济拖拉机 日期:2015-08-17 12:21:08
2 [报告]
发表于 2016-05-31 20:35 |只看该作者
这应该是其它服务加载的规则,看样子也flush掉了restore的规则。

vbri0跟虚拟化有关系,可能是docker或者kvm相关的服务启动的。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
Godbach

论坛徽章:
36
IT运维版块每日发帖之星 日期:2016-04-10 06:20:00IT运维版块每日发帖之星 日期:2016-04-16 06:20:0015-16赛季CBA联赛之广东 日期:2016-04-16 19:59:32IT运维版块每日发帖之星 日期:2016-04-18 06:20:00IT运维版块每日发帖之星 日期:2016-04-19 06:20:00每日论坛发贴之星 日期:2016-04-19 06:20:00IT运维版块每日发帖之星 日期:2016-04-25 06:20:00IT运维版块每日发帖之星 日期:2016-05-06 06:20:00IT运维版块每日发帖之星 日期:2016-05-08 06:20:00IT运维版块每日发帖之星 日期:2016-05-13 06:20:00IT运维版块每日发帖之星 日期:2016-05-28 06:20:00每日论坛发贴之星 日期:2016-05-28 06:20:00
3 [报告]
发表于 2016-06-01 10:47 |只看该作者
回复 2# nswcfd

嗯,是的。这个有可能。有些模块,可能自己维护自己的 iptables 规则,而不走 sysconfig。



   
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP