После обновления firewalld 0.5.5-alt1 до 0.6.3-alt1 наблюдаю такую ругань в логе: =8<========================================================================== root@latitude /var/log/syslog #bzgrep -i firewalld messages 2019-03-31T11:56:46.921831+07:00 latitude apt-get: firewalld-0.6.3-alt1 sisyphus+225892.200.3.1 1553884997 installed 2019-03-31T11:56:48.958694+07:00 latitude firewalld[8959]: ERROR: Failed to apply rules. A firewall reload might solve the issue if the firewall has been modified using ip*tables or ebtables. 2019-03-31T11:56:48.958769+07:00 latitude firewalld[8959]: ERROR: '/usr/sbin/nft insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop' failed: Error: Could not process rule: No such file or directory#012insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop#012^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 2019-03-31T11:56:52.066284+07:00 latitude apt-get: firewalld-0.5.5-alt1 sisyphus.213365.100 1537442463 removed 2019-03-31T13:26:07.889402+07:00 latitude firewalld[1462]: ERROR: Failed to apply rules. A firewall reload might solve the issue if the firewall has been modified using ip*tables or ebtables. 2019-03-31T13:26:07.889818+07:00 latitude firewalld[1462]: ERROR: '/usr/sbin/nft insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop' failed: Error: Could not process rule: No such file or directory#012insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop#012^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 2019-04-03T03:44:45.179268+07:00 latitude firewalld[1464]: ERROR: Failed to apply rules. A firewall reload might solve the issue if the firewall has been modified using ip*tables or ebtables. 2019-04-03T03:44:45.179462+07:00 latitude firewalld[1464]: ERROR: '/usr/sbin/nft insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop' failed: Error: Could not process rule: No such file or directory#012insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop#012^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 2019-04-04T08:37:37.216978+07:00 latitude firewalld[10960]: ERROR: Failed to apply rules. A firewall reload might solve the issue if the firewall has been modified using ip*tables or ebtables. 2019-04-04T08:37:37.217204+07:00 latitude firewalld[10960]: ERROR: '/usr/sbin/nft insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop' failed: Error: Could not process rule: No such file or directory#012insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop#012^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ 2019-04-04T08:38:37.025568+07:00 latitude firewalld[11817]: ERROR: Failed to apply rules. A firewall reload might solve the issue if the firewall has been modified using ip*tables or ebtables. 2019-04-04T08:38:37.025680+07:00 latitude firewalld[11817]: ERROR: '/usr/sbin/nft insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop' failed: Error: Could not process rule: No such file or directory#012insert rule inet firewalld raw_PREROUTING meta nfproto ipv6 fib saddr . iif oif missing drop#012^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ =8<========================================================================== и пустые правила в выводе "iptables -nvL" (ну кроме добавленной докером цепочки).
Установка в конфиге "FirewallBackend=iptables" помогает (в 0.6.3 приехал дефолтный FirewallBackend=nftables).
Кстати, пишут (https://firewalld.org/2018/07/firewalld-0-6-0-release , https://github.com/firewalld/firewalld/issues/377) что новому бакэнду нужно ядро от 4.18 (у меня уже 5.0.5-un-def). Что, как я понимаю, противоречит нашей политике упаковки (юзерспейс не должен иметь зависимостей от ядра).
Created attachment 8074 [details] Результат работы firewalld --nofork --nopid --debug Вот такой вывод если запускать в отладочном режиме.
Кстати, в трекере проекта майнтайнер пакета в дебиане пишет что они решили остаться на бакэнде iptables по умолчанию.
(В ответ на комментарий №0) > и пустые правила в выводе "iptables -nvL" (ну кроме добавленной докером > цепочки). Он и не должен ничего показывать. Показывать должен nft, что типа nft -a list ruleset Судя по всему проблема с некоторыми правилами только, остальные работают. (В ответ на комментарий №4) > Кстати, в трекере проекта майнтайнер пакета в дебиане пишет что они решили > остаться на бакэнде iptables по умолчанию. Это из-за libvirt. Но возможно нам тоже стоит включить iptables по умолчанию.
firewalld-0.6.3-alt2 -> sisyphus: Fri Apr 05 2019 Mikhail Efremov <sem@altlinux> 0.6.3-alt2 - Use iptables backend by default for now (closes: #36502).