完全にオフになっている場合でも、再起動後に毎回 iptables が読み込まれる原因

質問 :「chkconfig –level 345 iptables off」を使用して iptables をオフにしても、「service iptables status」は再起動のたびにいくつかの iptables ルールを表示します。

答え

libvirtd プロセスは、libvirtd の開始時に iptables ルールを iptables に追加します。以前に iptables が無効になっていた場合でも、libvirtd の起動時に iptables が実行されます。これらのルールは、物理ネットワークのファイアウォール構成には影響しません。 xen 環境を使用しない場合、これらのルールはまったく必要ありません。 Xen 以外の環境では、次のコマンドを実行してサービス libvirtd をオフにしても安全です。

# chkconfig --level 345 libvirtd off
# service libvirtd stop

libvirtd の起動時に iptables が起動しないようにする方法

Xen カーネルで Red Hat Enterprise Linux 5 を使用する場合、libvirtd デーモンはデフォルトで up に設定されます。「libvirtd」はデーモンであり、/usr/sbin/libvirtd コマンドを実行し、サーバー上の物理ネットワークステータスと /etc/libvirt/qemu/network の下の構成に従って、次のような iptables ルールを作成します。

# service iptables status

Table: nat
Chain PREROUTING (policy ACCEPT)
num  target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
num  target     prot opt source               destination         
1    MASQUERADE  all  --  192.168.122.0/24    !192.168.122.0/24    

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         

Table: filter
Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:53 
2    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:53 
3    ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:67 
4    ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0           tcp dpt:67 

Chain FORWARD (policy ACCEPT)
num  target     prot opt source               destination         
1    ACCEPT     all  --  0.0.0.0/0            192.168.122.0/24    state RELATED,ESTABLISHED 
2    ACCEPT     all  --  192.168.122.0/24     0.0.0.0/0           
3    ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           
4    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable 
5    REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-port-unreachable 

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

1. ブートおよび実行中に libvirtd サービスが有効になっているかどうかを確認します。

# chkconfig --list libvirtd
libvirtd        0:off   1:off   2:off   3:on    4:on    5:on    6:off

# /etc/init.d/libvirtd status
libvirtd (pid  3895) is running...

注意 :iptables が以前に無効になっていた場合でも、libvirtd サービスが iptables の開始を担当します。

2. libvirtd を停止し、chkconfig をオフにして、iptables のロードを控えます。

# chkconfig --level 345 libvirtd off
# service libvirtd stop

3. ホストを再起動して確認します。

注意 :xen を使用していない場合 VM をホストする Oracle Linux 上のカーネル。libvirtd をオフにしても安全です .
注意 :docker が注目されています service は iptables サービスも開始します。