5.7.5. 네트워킹
GRO를 비활성화할 때 IPsec 오프로딩 중에 IPsec 네트워크 트래픽이 실패합니다
장치에서 GRO(Generic Receive Offload)를 비활성화하면 IPsec 오프로딩이 작동하지 않습니다. IPsec 오프로딩이 네트워크 인터페이스에 구성되어 있고 해당 장치에서 GRO가 비활성화되면 IPsec 네트워크 트래픽이 실패합니다.
이 문제를 해결하려면 장치에서 GRO를 사용하도록 유지합니다.
(BZ#1649647)
iptables 는 지정된 체인 유형을 알 수 없는 경우 체인을 업데이트하는 명령에 대한 모듈 로드를 요청하지 않습니다.
참고: 이 문제로 인해 서비스 기본 구성을 사용하는 경우 iptables systemd 서비스를 중지할 때 기능이 작동하지 않는 잘못된 오류가 발생합니다.
iptables-nft 를 사용하여 체인의 정책을 설정할 때 관련 커널 모듈이 아직 로드되지 않은 경우 커널에 전송된 결과 update chain 명령이 실패합니다. 이 문제를 해결하려면 다음 명령을 사용하여 모듈이 로드되도록 합니다.
+
# iptables -t nat -n -L # iptables -t mangle -n -L
(BZ#1812666)
nft_compat 모듈로 주소 제품군별 LOG 백엔드 모듈 자동 로드가 중단될 수 있습니다.
네트워크 네임스페이스(netns)에서의 작업이 병렬로 수행되는 동안 nft_compat 모듈이 제품군별 LOG 대상 백엔드를 로드하면 잠금 충돌이 발생할 수 있습니다. 결과적으로 주소 제품군별 LOG 대상 백엔드를 로드하는 것이 중단될 수 있습니다. 이 문제를 해결하려면 iptables-restore 유틸리티를 실행하기 전에 관련 LOG 대상 백엔드(예: as nf_log_ipv4.ko 및 nf_log_ipv6.ko )를 수동으로 로드합니다. 결과적으로 LOG 대상 백엔드를 로드해도 중단되지 않습니다. 그러나 시스템 부팅 중에 문제가 발생하면 해결 방법을 사용할 수 없습니다.
libvirtd 와 같은 다른 서비스도 iptables 명령을 실행하여 문제가 발생할 수 있습니다.
(BZ#1757933)