GRO が無効になっていると、IPsec オフロード中に IPsec ネットワークトラフィックが失敗します。

デバイスで汎用受信オフロード (GRO) が無効になっていると、IPSec オフロードは機能しません。IPsec オフロードがネットワークインターフェースで設定され、GRO がそのデバイスで無効になっていると、IPsec ネットワークトラフィックに失敗します。

iptables では、指定のチェーンタイプが不明な場合に、モジュールがチェーン更新コマンドを読み込むように要求されません。

注記: この問題は、サービスのデフォルト設定を使用している場合は、iptables systemd サービスを停止すると、機能的な影響のない偽のエラーが発生します。

nft_compat モジュールによる、アドレスファミリー固有の LOG バックエンドモジュールの自動読み込みがハングする可能性があります。

nft_compat モジュールが、ネットワークの名前空間 (netns) で並行して操作が実行されている時に、アドレスファミリー固有の LOG ターゲットバックエンドを読み込むと、ロックの競合が発生する可能性があります。そのため、アドレスファミリー固有の LOG ターゲットバックエンドを読み込むとハングする可能性があります。この問題を回避するには、iptables-restore ユーティリティーを実行する前に、関連する LOG ターゲットバックエンド (nf_log_ipv4.ko、nf_log_ipv6.koなど) を手動で読み込みます。こうすることで、LOG ターゲットバックエンドの読み込みが停止しなくなります。ただし、システムの起動時に問題が発生した場合は、回避策はありません。