Re: Entreteniments variats després d'actualitzar a Bullseye

[Lluís Gras <lluis.gras@gmail.com>]

He trobat això https://selivan.github.io/2018/07/27/ipset-save-with-ufw-and-iptables-persistent-and.html

però de moment m'han passat les ganes de jugar-hi :-D

Missatge de Lluís Gras <lluis.gras@gmail.com> del dia dg., 29 d’ag. 2021 a les 20:29:

Bones,

Si no ho tinc mal entès, des de Buster que iptables ja es un "wrapper" de nftables.

root@gwbox:~# iptables
iptables v1.8.2 (nf_tables): no command specified

que serà molt mono, entenedor i que ja incorpora la funcionalitat d'ipset de sèrie, però que per bastir un tallafoc des de zero genera una mica de mandra, de fet la sortida actual de 

root@ns:~# nft list ruleset | wc -l
408

es prou llarga com per desanimar al més pacient. I jo, de moment el que vull és quelcom senzillet i personalitzable com ufw.

En qualsevol cas, gràcies per la referència. 

Missatge de Josep Lladonosa <jlladono@gmail.com> del dia dg., 29 d’ag. 2021 a les 16:27:

Hola,

He seguit els teus missatges. He fet una cerca "ufw bullseye" i he trobat un fil on diuen de canviar d'iptables a nftables. Probablement se't resol la qüestió.

https://forums.debian.net/viewtopic.php?f=16&t=143876

SALUT!

Josep

On Sun, 29 Aug 2021 at 10:08, Lluís Gras <lluis.gras@gmail.com> wrote:

No sembla un problema de permisos. 

Ambdues màquines tenen el mateix contingut a /lib/systemd/system/netfilter-persistent.service que en teoria s'hauria d'encarregar de fer persistents els conjunts d'ipset.

root@ns:~# systemctl status netfilter-persistent.service

● netfilter-persistent.service - netfilter persistent configuration
     Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled; vendor preset: enabled)
    Drop-In: /etc/systemd/system/netfilter-persistent.service.d
             └─ipset.conf
     Active: active (exited) since Sun 2021-08-29 09:21:28 CEST; 16min ago
       Docs: man:netfilter-persistent(8)
    Process: 683 ExecStart=/usr/sbin/netfilter-persistent start (code=exited, status=0/SUCCESS)
   Main PID: 683 (code=exited, status=0/SUCCESS)
        CPU: 11ms

d’ag. 29 09:21:28 ns netfilter-persistent[691]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/10-ipset start
d’ag. 29 09:21:28 ns netfilter-persistent[691]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/40-ipset start
d’ag. 29 09:21:28 ns systemd[1]: Starting netfilter persistent configuration...
d’ag. 29 09:21:28 ns systemd[1]: Finished netfilter persistent configuration.

En fi que tampoc és que em passi les hores reiniciant amb lo que de moment es quedarà com esta amb l'ufw reload.

Gràcies.

Missatge de R. Sicart <roger.sicart@gmail.com> del dia ds., 28 d’ag. 2021 a les 17:03:

Sembla més aviat el fitxer /etc/ufw/before.rules
que no pas el unit file. Els permisos són els mateixos ?

--

R. Sicart

28 août 2021 16:10:53 Lluís Gras <lluis.gras@gmail.com>:

Així sembla ...

Però és que tant en el cas (D10) com en l'altre (D11) el fitxer /lib/systemd/system/ufw.service és el mateix

root@gwbox:~# cat /lib/systemd/system/ufw.service
[Unit]
Description=Uncomplicated firewall
Documentation=man:ufw(8)
DefaultDependencies=no
Before=network.target

[Service]
Type=oneshot
RemainAfterExit=yes
ExecStart=/lib/ufw/ufw-init start quiet
ExecStop=/lib/ufw/ufw-init stop

[Install]
WantedBy=multi-user.target

I el paquet ipset no te cap entrada a systemd.

Missatge de R. Sicart <roger.sicart@gmail.com> del dia ds., 28 d’ag. 2021 a les 15:50:

Bones,

No he fet servir mai ufw, però pel missatge d'error "(nf_tables): Set Firehol_L1 doesn't exist
" sembla que, quan el servei systemd arranca, Firehol_L1 encara no existeix.

Sort !

--

--
Salutacions...Josep
--