5.7.5. 网络
当禁用 GRO 时,IPsec 网络流量在 IPsec 卸载过程中失败
当在该设备中禁用通用接收 Offload(GRO)时,IPsec 卸载将不会正常工作。如果在一个网络接口中配置了 IPsec 卸载,且在该设备中禁用 GRO,IPsec 网络流量会失败。
要临时解决这个问题,在该设备中启用 GRO。
(BZ#1649647)
如果指定链类型未知,则 iptables 不会为更新链的命令请求模块加载
注意:如果您使用服务默认配置,则此问题会在停止 iptables systemd 服务时导致无功能隐患的错误。
当使用 iptables-nft 设置链策略时,发送到内核的更新链命令将失败(如果尚未加载相关的内核模块)。要临时解决这个问题,请使用以下命令使模块载入:
+
# iptables -t nat -n -L # iptables -t mangle -n -L
(BZ#1812666)
nft_compat 模块自动加载特定于地址系列的 LOG 后端模块可能会挂起
当 nft_compat 模块 同时 加载网络命名空间(netns)上的操作时,可能会发生锁定冲突。因此,载入特定于地址的 LOG 目标后端可能会挂起。要临时解决这个问题,请在执行 iptables-restore 实用程序之前手动加载相关的 LOG 目标后端,如 _log_ipv6.ko。因此,载入 nf_log_ipv4.ko 和nfLOG 目标后端不会挂起。但是,如果在系统引导过程中出现问题,则没有可用的临时解决方案。
请注意,libvirt d 等其他服务也执行 iptables 命令,这可能会导致问题发生。
(BZ#1757933)