В CentOS 6.4 и 6.3 я видел, что марионетка регулярно использует порты ниже 32768. Это противоречит настройке для портов, назначенных ядром, согласно:
cat /proc/sys/net/ipv4/ip_local_port_range
32768 61000
Пример марионеточного процесса, заблокированного моим брандмауэром без сохранения состояния:
ruby 24488 root 3u IPv4 1844198 0t0 UDP 172.16.10.156:13346->172.16.10.2:domain
Я хотел бы исправить это, чтобы иметь возможность выбирать диапазон, который не должен быть "доступен для записи всем" в брандмауэре без сохранения состояния.
Изменить: версия Puppet 3.1.1 и Ruby 1.8.7
Почему ваш брандмауэр заботится о источник порт входящих подключений / UDP пакетов у всех? Правильное исправление - не заботиться об этом, а только добавлять правила для важных вещей: разрешить трафик на порт назначения UDP 53, независимо от порта источника.
Возможно /proc/sys/net/ipv4/ip_local_port_range устанавливается после запуска демона марионеточного агента. Для проверки перезапустите демон.