Bug 36502 - Не работает после обновления
Summary: Не работает после обновления
Status: CLOSED FIXED
Alias: None
Product: Sisyphus
Classification: Development
Component: firewalld (show other bugs)
Version: unstable
Hardware: all Linux
: P3 critical
Assignee: Mikhail Efremov
QA Contact: qa-sisyphus
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2019-04-04 05:25 MSK by Evgenii Terechkov
Modified: 2019-04-06 05:58 MSK (History)
1 user (show)

See Also:

Attachments
Результат работы firewalld --nofork --nopid --debug (59.74 KB, text/plain)
2019-04-04 06:06 MSK, Evgenii Terechkov 		no flags Details
View All Add an attachment (proposed patch, testcase, etc.)

Note You need to log in before you can comment on or make changes to this bug.
Description Evgenii Terechkov 2019-04-04 05:25:20 MSK 
После обновления firewalld 0.5.5-alt1 до 0.6.3-alt1 наблюдаю такую ругань в логе:
=8<==========================================================================
root@latitude /var/log/syslog #bzgrep -i firewalld messages
2019-03-31T11:56:46.921831+07:00 latitude apt-get: firewalld-0.6.3-alt1 sisyphus+225892.200.3.1 1553884997 installed
2019-03-31T11:56:48.958694+07:00 latitude firewalld[8959]: ERROR: Failed to apply rules. A firewall reload might solve the issue if the firewall has been modified using ip*tables or ebtables.
2019-03-31T11:56:48.958769+07:00 latitude firewalld[8959]: ERROR: '/usr/sbin/nft insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop' failed: Error: Could not process rule: No such file or directory#012insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop#012^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
2019-03-31T11:56:52.066284+07:00 latitude apt-get: firewalld-0.5.5-alt1 sisyphus.213365.100 1537442463 removed
2019-03-31T13:26:07.889402+07:00 latitude firewalld[1462]: ERROR: Failed to apply rules. A firewall reload might solve the issue if the firewall has been modified using ip*tables or ebtables.
2019-03-31T13:26:07.889818+07:00 latitude firewalld[1462]: ERROR: '/usr/sbin/nft insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop' failed: Error: Could not process rule: No such file or directory#012insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop#012^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
2019-04-03T03:44:45.179268+07:00 latitude firewalld[1464]: ERROR: Failed to apply rules. A firewall reload might solve the issue if the firewall has been modified using ip*tables or ebtables.
2019-04-03T03:44:45.179462+07:00 latitude firewalld[1464]: ERROR: '/usr/sbin/nft insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop' failed: Error: Could not process rule: No such file or directory#012insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop#012^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
2019-04-04T08:37:37.216978+07:00 latitude firewalld[10960]: ERROR: Failed to apply rules. A firewall reload might solve the issue if the firewall has been modified using ip*tables or ebtables.
2019-04-04T08:37:37.217204+07:00 latitude firewalld[10960]: ERROR: '/usr/sbin/nft insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop' failed: Error: Could not process rule: No such file or directory#012insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop#012^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
2019-04-04T08:38:37.025568+07:00 latitude firewalld[11817]: ERROR: Failed to apply rules. A firewall reload might solve the issue if the firewall has been modified using ip*tables or ebtables.
2019-04-04T08:38:37.025680+07:00 latitude firewalld[11817]: ERROR: '/usr/sbin/nft insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop' failed: Error: Could not process rule: No such file or directory#012insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop#012^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
=8<==========================================================================

и пустые правила в выводе "iptables -nvL" (ну кроме добавленной докером цепочки).
Comment 1 Evgenii Terechkov 2019-04-04 05:32:37 MSK 
Установка в конфиге "FirewallBackend=iptables" помогает (в 0.6.3 приехал дефолтный FirewallBackend=nftables).
Comment 2 Evgenii Terechkov 2019-04-04 05:58:37 MSK 
Кстати, пишут (https://firewalld.org/2018/07/firewalld-0-6-0-release , https://github.com/firewalld/firewalld/issues/377) что новому бакэнду нужно ядро от 4.18 (у меня уже 5.0.5-un-def). Что, как я понимаю, противоречит нашей политике упаковки (юзерспейс не должен иметь зависимостей от ядра).
Comment 3 Evgenii Terechkov 2019-04-04 06:06:01 MSK 
Created attachment 8074 [details]
Результат работы firewalld --nofork --nopid --debug

Вот такой вывод если запускать в отладочном режиме.
Comment 4 Evgenii Terechkov 2019-04-04 06:06:49 MSK 
Кстати, в трекере проекта майнтайнер пакета в дебиане пишет что они решили остаться на бакэнде iptables по умолчанию.
Comment 5 Mikhail Efremov 2019-04-04 20:38:53 MSK 
(В ответ на комментарий №0)
> и пустые правила в выводе "iptables -nvL" (ну кроме добавленной докером
> цепочки).

Он и не должен ничего показывать. Показывать должен nft, что типа nft -a list ruleset
Судя по всему проблема с некоторыми правилами только, остальные работают.

(В ответ на комментарий №4)
> Кстати, в трекере проекта майнтайнер пакета в дебиане пишет что они решили
> остаться на бакэнде iptables по умолчанию.

Это из-за libvirt. Но возможно нам тоже стоит включить iptables по умолчанию.
Comment 6 Repository Robot 2019-04-05 16:26:18 MSK 
firewalld-0.6.3-alt2 -> sisyphus:

Fri Apr 05 2019 Mikhail Efremov <sem@altlinux> 0.6.3-alt2
- Use iptables backend by default for now (closes: #36502).