Question :même si iptables est désactivé à l'aide de "chkconfig -level 345 iptables off", "service iptables status" affiche toujours certaines règles iptables après chaque redémarrage.
Répondre
Le processus Libvirtd ajoutera des règles iptables dans iptables lors du démarrage de libvirtd. iptables s'exécutera au démarrage de libvirtd, même si iptables a été désactivé auparavant. Ces règles n'affecteront pas la configuration du pare-feu pour le réseau physique. Si l'environnement xen n'est pas utilisé, ces règles ne sont pas du tout nécessaires. Dans un environnement non-xen, vous pouvez désactiver le service libvirtd en toute sécurité en exécutant :
# chkconfig --level 345 libvirtd off # service libvirtd stop
Comment empêcher iptables de démarrer au démarrage de libvirtd
Lors de l'utilisation de Red Hat Enterprise Linux 5 avec le noyau Xen, le démon libvirtd sera configuré par défaut. « libvirtd » est un démon qui exécutera la commande /usr/sbin/libvirtd et suivra l'état du réseau physique sur le serveur et la configuration sous /etc/libvirt/qemu/network pour créer des règles iptables, telles que :
# service iptables status Table: nat Chain PREROUTING (policy ACCEPT) num target prot opt source destination Chain POSTROUTING (policy ACCEPT) num target prot opt source destination 1 MASQUERADE all -- 192.168.122.0/24 !192.168.122.0/24 Chain OUTPUT (policy ACCEPT) num target prot opt source destination Table: filter Chain INPUT (policy ACCEPT) num target prot opt source destination 1 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:53 2 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 3 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:67 4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:67 Chain FORWARD (policy ACCEPT) num target prot opt source destination 1 ACCEPT all -- 0.0.0.0/0 192.168.122.0/24 state RELATED,ESTABLISHED 2 ACCEPT all -- 192.168.122.0/24 0.0.0.0/0 3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 4 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable 5 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-port-unreachable Chain OUTPUT (policy ACCEPT) num target prot opt source destination
1. Vérifiez si le service libvirtd est activé lors du démarrage et de l'exécution.
# chkconfig --list libvirtd libvirtd 0:off 1:off 2:off 3:on 4:on 5:on 6:off
# /etc/init.d/libvirtd status libvirtd (pid 3895) is running...Remarque :Le service libvirtd est responsable du démarrage d'iptables même si iptables était désactivé auparavant.
2. Arrêtez libvirtd et désactivez-le pour l'empêcher de charger iptables.
# chkconfig --level 345 libvirtd off # service libvirtd stop
3. Redémarrez l'hôte et vérifiez.
Remarque :Sauf si vous utilisez xen noyau sur Oracle Linux pour héberger des machines virtuelles, il est sûr de désactiver libvirtd .Remarque :Il a été remarqué que docker service démarre également le service iptables.