Beim Booten schlägt netfilter-persistent fehl

  • Hallo zusammen,


    unter Ubuntu 20.04 zum Einspielen von z.B. manuell gepflegten Blocklisten den netfilter-persistent-Service. Dies hat Monate auch hervoragend geklappt.


    Neuerdings schlägt dies beim Booten fehl:

    systemd[1]: Starting netfilter persistent configuration...

    netfilter-persistent[566]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/15-ip4tables start

    netfilter-persistent[569]: iptables-restore: line 7 failed

    netfilter-persistent[566]: run-parts: /usr/share/netfilter-persistent/plugins.d/15-ip4tables exited with return code 1

    netfilter-persistent[566]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/25-ip6tables start

    systemd[1]: netfilter-persistent.service: Main process exited, code=exited, status=1/FAILURE

    systemd[1]: netfilter-persistent.service: Failed with result 'exit-code'.

    systemd[1]: Failed to start netfilter persistent configuration.


    Lade ich die Regeln nach dem Boot manuell, geht das ohne Probleme. Gibt hier ja 2 Möglichkeiten:

    - systemctl restart netfilter-persistent

    - iptables-restore -n < /etc/iptables/rules.v4 bzw. iptables-restore -v < /etc/iptables/rules.v4 zum Testen


    Hat irgendwer eine Idee, was der Grund sein kann?

  • iptables-restore: line 7 failed

    Was steht denn in Zeile 7 in der Datei /etc/iptables/rules.v4?


    Eventuell ist irgendwas noch nicht verfügbar, was diese Regel benötigt.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Was steht denn in Zeile 7 in der Datei /etc/iptables/rules.v4?


    Eventuell ist irgendwas noch nicht verfügbar, was diese Regel benötigt.

    Dies ist eine Filter-Regel, die beginnt mit

    -I DOCKER-USER -s ...


    Ist dann die Chain noch nicht da?

    Hat sich evtl. bei Docker etwas bei der Bootreihenfolge geändert?

  • Wenn es wirklich nur daran liegt: Versuch die Kette vorher selbst anzulegen? Keine Ahnung, ob sich Docker beschwert, wenn es die Kette schon gibt bzw. ob sie dann geleert wird.


    Prinzipiell bin ich nämlich schon der Meinung, dass netfilter-persistent vor jeglichen anderen Dingen laufen sollte, die an der Firewall herumpfuschen. Andernfalls wäre das ein ganz schlechtes Design.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)