iptables ошибка запуска

[bars]

Обновил систему до Linux 6.18.30-gentoo
Моя система Linux 6.18.30-gentoo x86_64
заметил что iptables перестал загружаться, пока разбираюсь в чем дело.

Код: Выделить всё

modprobe: FATAL: Module ip_tables not found in directory /lib/modules/6.18.30-gentoo
iptables v1.8.13 (legacy): can't initialize iptables table `filter': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

[yoricI]

Отказались, вроде пакет iptables-legacy надо ставить, или в ядре legacy-модули компилять. Я на nftables перешёл, есть куча утилит, которые правила конвертируют.

[ormorph]

Моя система Linux 6.18.30-gentoo x86_64
заметил что iptables перестал загружаться, пока разбираюсь в чем дело.

Скорее всего используете старый конфиг ядра. Там что то поменяли в настройках, и эти опции сборки просто не включаются, нужно править заново, что бы заставить заработать это. Хотя сейчас уже nftables должен быть везде, но для нормального запуска docker нужен iptables. У самого так было обычно просто скармливал старый конфиг, а потом все надежды на oldconfig. У самого такое было, когда docker отвалился, довольно продолжительное время помучился, так как для включения этих настроек нужно было включить другие, что бы вообще появилась возможность включить это, иначе просто настройки недоступны. Как вариант можно использовать готовый пакет sys-kernel/gentoo-kernel-bin, вместо gentoo-sources, там это включено.
Так же самое в определённый момент у меня это появилось после обновления ядра.

[Bizdelnick]

для нормального запуска docker нужен iptables

На фига? Он давным-давно nftables поддерживает. По крайней мере, через iptables-nft. А с 29 версии — и напрямую.

[ormorph]

На фига? Он давным-давно nftables поддерживает. По крайней мере, через iptables-nft. А с 29 версии — и напрямую.

Я же не с потолка это взял, у меня конкретно не запускался docker без модулей iptables.

Вот вывод разницы lsmod до и после запуска docker-29.1.3:

Spoiler

Shell

--- mod-without-docker 2026-06-07 10:29:26.199537150 +0300
+++ mod-docker 2026-06-07 10:30:22.219533725 +0300
@@ -1,4 +1,19 @@
Module Size Used by
+xt_conntrack 12288 1
+xt_MASQUERADE 16384 1
+bridge 413696 0
+ip6table_nat 12288 1
+ip6table_filter 12288 1
+ip6_tables 28672 2 ip6table_filter,ip6table_nat
+xt_set 20480 0
+ip_set 61440 1 xt_set
+iptable_nat 12288 1
+nf_nat 61440 3 ip6table_nat,iptable_nat,xt_MASQUERADE
+nf_conntrack 184320 3 xt_conntrack,nf_nat,xt_MASQUERADE
+nf_defrag_ipv6 20480 1 nf_conntrack
+nf_defrag_ipv4 12288 1 nf_conntrack
+xt_addrtype 12288 4
+iptable_filter 12288 1
fuse 245760 2
zram 61440 1
lz4hc_compress 20480 1 zram
@@ -6,8 +21,8 @@
8021q 45056 0
garp 16384 1 8021q
mrp 16384 1 8021q
-stp 12288 1 garp
-llc 12288 2 stp,garp
+stp 12288 2 bridge,garp
+llc 12288 3 bridge,stp,garp
uinput 28672 1
rfcomm 86016 4
snd_seq_dummy 12288 0
@@ -15,7 +30,7 @@
snd_seq 118784 7 snd_seq_dummy
snd_seq_device 12288 1 snd_seq
nf_tables 385024 4
-nfnetlink 20480 1 nf_tables
+nfnetlink 20480 3 nf_tables,ip_set
uhid 24576 2
bnep 32768 2
vfat 24576 1
@@ -45,7 +60,7 @@
iTCO_vendor_support 12288 1 iTCO_wdt
joydev 32768 0
bluetooth 925696 36 btrtl,btmtk,btintel,btbcm,bnep,btusb,rfcomm
-i915 4730880 33
+i915 4730880 32
mac80211 1638400 1 iwldvm
kvm_intel 503808 0
libarc4 12288 1 mac80211
@@ -64,7 +79,7 @@
irqbypass 16384 1 kvm
drm_display_helper 290816 1 i915
snd_intel_sdw_acpi 16384 1 snd_intel_dspcfg
-ip_tables 28672 0
+ip_tables 28672 2 iptable_filter,iptable_nat
snd_hwdep 20480 1 snd_hda_codec
rapl 16384 0
snd_pcm 188416 4 snd_hda_codec_hdmi,snd_hda_intel,snd_hda_codec,snd_hda_core

Само собою у меня nftables по умолчанию, но без модулей iptables, docker не запустить.

[Bizdelnick]

Я же не с потолка это взял, у меня конкретно не запускался docker без модулей iptables.

У Вас в системе не было iptables-nft? Тогда вопрос к майнтейнерам gentoo, как они такое допустили. Ну и к Вам, почему Вы его не поставили ручками, коли в зависимостях не было.

[ormorph]

У Вас в системе не было iptables-nft?

Нет не было, кроме того на что ругалось в выводе запуска Docker то и ставил. Кроме того такого пакета у меня нет, но скорее всего оно ставится установкой net-firewall/iptables с включенным флагом nftables, который само собою по умолчанию отключён, потом попробую включить. Кроме того в документации docker для Gentoo такая информация отсутствует.

[Bizdelnick]

скорее всего оно ставится установкой net-firewall/iptables с включенным флагом nftables

Вероятно.

который само собою по умолчанию отключён

Само собою должны были бы его по умолчанию включить при выпиливании ip_tables из ядра.

потом попробую включить

Уже не обязательно.

[ormorph]

Уже не обязательно.

И тут как всегда накололи, попробовал запустить с параметром --firewall-backend=nftables, прописав его в /etc/conf.d/docker в DOCKER_OPTS, завершилось ошибкой. Оказывается знак равно там не нужен, нужен пробел. А так запустилось только после:

Shell

# sysctl net.ipv4.ip_forward=1

До этого этого не требовалось. Но так же самое запускается модули iptable_filter, ip6_tables, ip6table_filter.
Не факт что без них будет запускаться.

[ormorph]

Хм, интересно. Попробовал удалить эти модули и запустить docker, всё запустилось. После этого вернул обратно модули, при последующем запуске уже больше не запускались, и работало на nftables, даже после возвращения модулей обратно и выполнения depmod -a. Короче для Gentoo прописать --firewall-backend nftables в DOCKER_OPTS работает. Единственно в документации параметр передан не правильно --firewall-backend=nftables

[ormorph]

Интересно, тема возникла, и как раз несколько дней назад в багзиле писалось по этому поводу это. В общем на свой страх и риск, если то что предоставляется удовлетворяет, то почему не использовать, но поддержка экспериментальная. Скорее всего раньше было бы достаточно добавить в добавок ещё опцию --iptables=false. Но проблема сборки ядра у меня возникла ещё пару или полтора месяца назад, не уверен что тогда был по умолчанию в стабильных docker-29.x. Так как тогда просто падал и не запускался, а тут говорится что на 29 оно должно само переключиться на nftables если нет iptables.

[bars]

перешел на nftables, синтаксис правил интуитивные.

[ormorph]

Проверил в docker-29 c nftables. Наиболее нормальное решение:
Жестко блокируем модули iptables: /etc/modprobe.d/blacklist.conf

Shell

nstall ip6_tables /bin/true
install ip6table_filter /bin/true
install ip_tables /bin/true
install iptable_filter /bin/true

В данном случае синтаксис: blacklist модуль, не подойдёт.
Далее добавляется опция DOCKER_OPTS="--firewall-backend nftables" в /etc/conf.d/docker. Как ранее смотрел, где то предлагали использовать опцию --iptables=false, её не следует использовать, так как с ней не создаётся таблица для ipv4, следовательно интернет может быть недоступен, но если первый запуск был выполнен без этой опции, то эта таблица будет сохранена в /var/lib/nftables/rules-save, и при перезагрузке так же будет доступна. Если используется ядро sys-kernel/gentoo-kernel-bin, то это наиболее желательный вариант.

[SwapON]

для нормального запуска docker нужен iptables

Создайте файл /etc/docker/daemon.json, добавьте следующее содержимое

Shell

{
"firewall-backend": "nftables"
}

[ormorph]

Создайте файл /etc/docker/daemon.json, добавьте следующее содержимое

Я в курсе, это было прописано в ссылке выше, у меня этоn файл и так есть, там прописаны зеркала. Но этот параметр аналогичен --firewall-backend nftables. Это не отменяет загрузку модулей iptables при запуске, не смотря на то, что работает оно при этом уже через nftables. Так что блокировка модулей ядра iptables обязательна, кроме того при блокировке модулей iptables оно должно переходить на nftables автоматически без этих параметров. Это легко проверяется просмотром содержанием таблиц, так как при запуске в режиме iptables таблицы для nftables удаляются.