[Question] เรื่อง iptables ของ xen

[tonhor]

เรื่อง iptables ของ xen นะครับ

จะถามว่า ไปปิด iptable ของ xen ตอน xen start ได้ยังไง ?

ทุกครั้งที่ผม start xen มันจะมี rule ของ xen เพิ่มมาให้ iptables list นะครับ



[code]; อันนี้เป็น rule ของ xen ที่เพิ่มเข้ามาใน

[asylu3]

ถ้าอิงตาม Linux ส่วนมาก นะครับ หากจะ Start/stop service ต่างๆให้
เข้าไปรัน script ที่ /etc/init.d/

เช่นหากอยากหยุด service iptables ก็

**Hidden Content: To see this hidden content your post count must be 1 or greater.**

[tonhor]

ขอบคุณครับท่าน asylu3

แต่ว่าคือมันเป็นอีกประเด็นหนึ่งอะครับ สมมติเหตุการณ์คือ

ผม /etc/init.d/iptables stop

และก็สั่งให้มันไม่รันตอน start os : chkconfig iptables off

พอผม start os มาก็คือ service iptables ถูกปิดอยู่ อันนี้ถูกต้องครับ [/b]

แต่พอผมสั่ง start xen เจ้า xen มันจะรันสคริปหลักอย่ 2 อัน คือ network-virtual , vif-bridge

(ซึ่ง สคิป 2 ตัวนี้ อาจจะเรียกสคิปย่อยอีกที ด้านใน)

สุดท้ายแล้วพอ start xen เสร็จ ผมจะได้ rule ของ iptables เพิ่มมา

ผมก็ลองดูจาก สคิป 2 ตัวนี้แระว่ามันรันสร้าง iptabls ไหมยังไง ผมก็หาแล้วนะครับแต่ไม่เจอ

---------------------------------

ตอนนี้คือ ผมแก้ปัญหาด้วยการ เขียนสคิปให้มันรันหลัง start xen (ที่คิดไว้นะคับ ถ้าหาวิธีปิด iptables ของ xen ไม่ได้ )

[asylu3]

ผมเดาว่าบาง Rule set ของ iptables มันไม่ถูกใจเลยอยากเอาออกแนะนำว่าให้ลองเข้าไปดูในนี้ครับ

Code:

/etc/iptables.rules

เพราะปกติเวลา ethernet device ทำงานจะมีการกำหนดให้ไปเรียกไฟล์ rule ที่ save ไว้ขึ้นมาพร้อมกันด้วย
ซึ่งหากจะยกเลิกก็ต้องเข้าไปแก้ไฟล์ดังกล่าวชื่อไฟล์อาจจะต่างออกไป ยังไงหากไม่เจอลอง

Code:

ls /etc/iptables*

ดู

พอแก้เสร็จแ้ล้วให้ restart network service ใหม่ ถ้าเป็น ทั้วๆไปก็

Code:

./etc/init.d/networking restart

หรือไม่ก็

Code:

service network restart

แล้วจริงๆบอกได้ไหมครับว่ามีปัญหาอะไรทำไมถึงอยากไปปิด rule ของ iptables ครับ ? ปกติถ้าเป็นค่า Default มาก็น่าจะออกแบบมาดีแล้วหากเอาออกไปเลยเกรงว่าจะเกิดปัญหาด้านความปลอดภัย
ช่วยบอกเจตนาที่ต้องการจะทำจริงๆได้หรือเปล่าครับอาจจะแนะนำได้ตรงประเด็นกว่า

[tonhor]

แล้วจริงๆบอกได้ไหมครับว่ามีปัญหาอะไรทำไมถึงอยากไปปิด rule ของ iptables ครับ ? ปกติถ้าเป็นค่า Default มาก็น่าจะออกแบบมาดีแล้วหากเอาออกไปเลยเกรงว่าจะเกิดปัญหาด้านความปลอดภัย
ช่วยบอกเจตนาที่ต้องการจะทำจริงๆได้หรือเปล่าครับอาจจะแนะนำได้ตรงประเด็นกว่า
[/b]

ครับท่าน admin คือยังงี้ครับ

ผมต้องการเปิด service iptables(ที่เปน rule ที่ผมสร้างขึ้น) อยู่แล้วครับ กับ sevice xend ตอน start os

เหตุการณ์ก็มีอยู่ว่า ณ ปัจจุบัน ตอนนี้มี rule ของ iptables ที่ script ของ xen สร้างขึ้นมา (ตามหัวข้อ topic)

ผมก็ลบมันออกด้วย iptables -F แล้ว add rule ของผมเข้าไปใหม่

ก็คือ drop หมดทั้ง 3 อันก่อน (input,forward,output)

แล้ว ACCEPT ของ input ที่เข้ามาเฉพาะ port 22,80 ในเบื้องต้น (ลองเทสดูแล้ว ok แสดงว่า rule ผมไม่ผิดตอนนี้)

แต่พอผม reboot ปุ๊บ ทั้ง service iptables และ xen ก็ต้อง start ด้วย (เพราะผมตั้งไว้แบบนี้)

แต่คราวนี้มัน boot ไม่ขึ้นครับ ผมคิดว่าน่าจะเกิดจาก ที่ rule ของผมไปชนกับ rule ของ xen หรือเปล่า

เพราะเวลาที่ xen start มันก็จะไปรันสคิป ที่สร้าง rule ของมัน

ผมก็เลยลบ rule ของผมออกก่อน เพื่อให้มัน run level ได้ แล้วเข้าไป ปิด script ของ xen ที่สร้าง rule

เพราะ rule ของที่ xen สร้างขึ้นผมไม่ต้องการ เนื่องจากว่า มัน ACCEPT หมดเลย ทั้ง input,forward,output

และ network ที่ผมจำลองในตัว xen ก็ไม่มีวง 192.168.122.0/24 นี้ด้วย


-----------------------------------
สรุปสิ่งที่ผมต้องการ คือ ปิดไม่ให้ xen รันสคิปในการสร้าง rule เพื่อที่ผมจะได้สร้าง rule ของผมเองได้
ซึ่งมันจะสร้าง rule ทุกครั้งที่ xen มัน start


ผมจะใช้เวลาช่วง จ-ศ (เวลาทำงาน) หาวิธีหนะครับ ได้ผลยังไงจะมาบอกอีกที

ขอบคุณท่าน admin ครับ

------------------------------------------------------------------------------------------------

Update : 26 Sep 2008

ได้คำตอบแล้วนะครับ ไม่ยากเลยแค่เราไม่รู้ -0-

[hide=10]
ผมแค่ไปปิด service libvirtd เองซึ่งตัวนี้ ถ้าเปิดมันจะทำการสร้างการ์ด virbr0 ขึ้นมาแระมี ip เป็นวง 192.168.122.0/24(ตาม firewall ที่มันสร้างตามมาด้วย)

ซึ่งการ์ด virbr0 เราไม่ได้ใช่มันอยู่แล้วครับ เราสร้างใหม่เองเป็นของเรา ลดการรัน service ที่ไม่ได้ใช้ไปด้วย

[code]
1. ไปปิดเซอร์วิส libvertd ให้ไม่ต้องรันในภายภาคหน้า