====== iptables ======

===== iptables und netplan =====

Ab Ubuntu 17.10 kommt [[ubuntu:netplan|netplan]] als Netzwerk-Konfigurations-Tool zum Einsatz. Damit lassen sich die iptables rules nicht mehr mit Skripten in /etc/network/if-up bzw. if-down setzen. Derzeit ist dei einzige Möglichkeit, die ich gefunden habe, sie persistent zu machen, das Paket iptables-persistent zu nutzen. Eine ungefähre Anleitung gibt es hier: https://www.thomas-krenn.com/en/wiki/Saving_Iptables_Firewall_Rules_Permanently#iptables-persistent_for_Debian.2FUbuntu

===== kvm und iptables =====
kvm bzw. libvirt fügen ganz am Anfang der INPUT-chain 4 Regeln ein, die den Zugang zum internen DHCP-Server von libvirt ermöglichen:

<code>
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere             udp dpt:bootps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:bootps
</code>


Schaut man sie sich so mit 
<code bash>
iptables -L
</code>
an, sehen sie etwas erschreckend aus, da sie anscheinend alles durchlassen. Mit
<code bash>
iptables -L -v
</code>
werden auch die Geräte angezeigt, und hier sieht man dann, dass die Regeln auf die virtuelle Netzwerkkarte von libvirt eingeschränkt ist:

<code>
    0     0 ACCEPT     udp  --  virbr0 any     anywhere             anywhere             udp dpt:domain
    0     0 ACCEPT     tcp  --  virbr0 any     anywhere             anywhere             tcp dpt:domain
    0     0 ACCEPT     udp  --  virbr0 any     anywhere             anywhere             udp dpt:bootps
    0     0 ACCEPT     tcp  --  virbr0 any     anywhere             anywhere             tcp dpt:bootps
</code>