11.5. ネットワーク

GRO が無効になっていると、IPsec オフロード中に IPsec ネットワークトラフィックが失敗します。

デバイスで汎用受信オフロード (GRO) が無効になっていると、IPSec オフロードは機能しません。IPsec オフロードがネットワークインターフェースで設定され、GRO がそのデバイスで無効になっていると、IPsec ネットワークトラフィックに失敗します。

この問題を回避するには、デバイスで GRO を有効にしたままにします。

(BZ#1649647)

iptables では、指定のチェーンタイプが不明な場合に、モジュールがチェーン更新コマンドを読み込むように要求されません。

注記: この問題は、サービスのデフォルト設定を使用している場合は、iptables systemd サービスを停止すると、機能的な影響のない偽のエラーが発生します。

iptables-nft でチェーンのポリシーを設定すると、関連付けられたカーネルモジュールがすでにロードされていない場合には、作成される更新チェーンコマンドのカーネルへの送信に失敗します。この問題を回避するには、以下のコマンドを使用してモジュールを読み込みます。

+

# iptables -t nat -n -L
# iptables -t mangle -n -L

(BZ#1812666)

nft_compat モジュールによる、アドレスファミリー固有の LOG バックエンドモジュールの自動読み込みがハングする可能性があります。

nft_compat モジュールが、ネットワークの名前空間 (netns) で並行して操作が実行されている時に、アドレスファミリー固有の LOG ターゲットバックエンドを読み込むと、ロックの競合が発生する可能性があります。そのため、アドレスファミリー固有の LOG ターゲットバックエンドを読み込むとハングする可能性があります。この問題を回避するには、iptables-restore ユーティリティーを実行する前に、関連する LOG ターゲットバックエンド (nf_log_ipv4.konf_log_ipv6.koなど) を手動で読み込みます。こうすることで、LOG ターゲットバックエンドの読み込みが停止しなくなります。ただし、システムの起動時に問題が発生した場合は、回避策はありません。

libvirtd などの他のサービスは、iptables コマンドも実行するため、問題が発生する可能性があることに注意してください。

(BZ#1757933)


このページには機械翻訳が使用されている場合があります (詳細はこちら)。