質問: iptables変更できません。マイコンピュータでiptables -F.showsを実行できますiptables -L。フラッシュされました。
パケットがシステムに入ったり出たりすると、すべてのルールが復元されます。を実行すると同じ動作が発生しますiptables-restore < new_settings。彼らはしばらくそこにとどまり、パケットが入るとすぐに元のiptables状態に戻ります。
私はそれを使用していますダーバン8オペレーティングシステムは以下から派生します。Debian 7。他人のコンピュータであることが判明しました。
確認してみると、次のいずれかになると思いました。
iptables-persistent存在しない/etc/iptables/存在しない- プロセスを見ると、名前に
systemctl何も含まれません。ip
/# systemctl --all | grep ip run-rpc_pipefs.mount loaded active mounted /run/rpc_pipefs systemd-initctl.socket loaded active listening /dev/initctl Compatibility Named Pipe
# firewalldシステムにありません。
システム構成を変更するサービスやモノをどこで見つけることができますか?
答え1
.Fedoraを使用すると、デフォルトでauditこれを有効にでき、NETFILTER_CFG行にログが溢れます。
この質問を見てください:
示された例では、関連するプロセスは、iptablesおそらくあまり役に立ちません。ただし、これはppid親プロセス(明白なプロセスも含むpid)を記録します。
親プロセスの場合返品今出てください...
acctプロセスアカウント(パッケージ)を使用すると、既存のプロセス(コマンド)の名前を簡単に追跡できます。lastcommしかし、思ったより一般的ではありません。私はここで「bash」を考えています。
プログラムの実行など、開いているファイルを追跡するのに最適ですfatrace。 grepを介して配管しようとしないでください。出力が生成されず、理由がわかりません。
まだ一つあります。ページからexecsnoop。プログラムや提案された選択肢が利用可能な場合は、説明するのが最も簡単です。
技術的には許可しません。しかし、ネットフィルタルールを作成しないfork()妥当な理由は考えられません。fork()exec()
答え2
長い話を短く設定ファイルが継続的に変更されるという奇妙な問題が発生した場合は、ファイルを確認してください(すでに設定を/etc/network/if-*.d確認している場合)。systemd
iptablesコマンド(または実際には何でも)を変更する別のオプションは、インターネット接続に応じて変更されるかif-up.dフォルダにあることがわかりました。if-down.d
内部に/etc/network/フォルダがあり、保管などができますif-pre-up.d。if-up.d
if-*それぞれに、条件が満たされたときに実行されるスクリプトのセットが含まれています。したがって、インターネット接続が変更されるたびに(これから変更されたように見える)、iptablesiptablesのファイルを使用してiptablesをリセットするスクリプトを実行します。/sbin/iptables-restore < /etc/network/iptablesiptables/etc/network/