Início / unix / Perguntas / 763083
Accepted
TSG
Asked: 2023-12-05 08:43:52 +0800 CST

O que carrega nft_compat

  • 772

Estou executando o AlmaLinux 9 e na inicialização vejo um aviso

Warning: Deprecated Driver is detected: nft_compat will not be maintained in a future major release and may be disabled

mas o que está carregando esse driver? Eu tenho o serviço firewalld desativado. Quero eliminar este aviso (corretamente).

Informação adicional:

[root@server ~]# lsmod | grep  nft_compat
nft_compat             20480  14
nf_tables             278528  98 nft_compat,nft_counter,nft_chain_nat
nfnetlink              20480  2 nft_compat,nf_tables


[root@server ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
NETAVARK_FORWARD  all  --  0.0.0.0/0            0.0.0.0/0            /* netavark firewall plugin rules */

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain NETAVARK_FORWARD (1 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            10.88.0.0/16         ctstate RELATED,ESTABLISHED
ACCEPT     all  --  10.88.0.0/16         0.0.0.0/0

Chain NETAVARK_ISOLATION_2 (1 references)
target     prot opt source               destination

Chain NETAVARK_ISOLATION_3 (0 references)
target     prot opt source               destination
DROP       all  --  0.0.0.0/0            0.0.0.0/0
NETAVARK_ISOLATION_2  all  --  0.0.0.0/0            0.0.0.0/0
nftables

1 respostas

  1. Best Answer

    Sobre a mensagem em si: não é uma mensagem upstream do kernel, é uma mensagem específica adicionada no AlmaLinux 9 (e provavelmente herdada do RHEL 9).

    O nft_compatmódulo é a camada de compatibilidade que permite executar iptables sobre nftables e ainda usar módulos não-nftables.

    CONFIG_NFT_COMPAT: Netfilter x_tables sobre módulo nf_tables

    [...]

    • módulos construídos:nft_compat

    Texto de ajuda

    Isso é necessário se você pretende usar qualquer uma das extensões de correspondência/destino x_tables existentes na estrutura nf_tables.

    Qualquer módulo xtables usado em iptables-nftvez de iptables-nfttraduzir a regra iptables em uma regra nftables somente nativa precisará nft_compatfuncionar.

    Começando com uma VM limpa que não executa nada relacionado à rede e, portanto, não está nft_compatcarregada, quase tudo que não está vazio irá carregá-la.

    Isso não:

    iptables-nft -A -j ACCEPT

    Como é traduzido puramente em código nftables :

    # uname -r
6.1.0-0.deb11.5-amd64
# iptables -V
iptables v1.8.7 (nf_tables)
# iptables -A -j ACCEPT
# nft --debug=netlink list ruleset
ip filter INPUT 2 
  [ counter pkts 0 bytes 0 ]
  [ immediate reg 0 accept ]

table ip filter {
    chain INPUT {
        type filter hook input priority filter; policy accept;
        counter packets 0 bytes 0 accept
    }
}
# lsmod | grep nft_compat
#

    Quase tudo o mais irá (até que o espaço do usuário e a versão do kernel permitam traduzi-lo em nativo nftables , então isso possivelmente depende da versão do iptables e da versão do kernel para uma determinada regra).

    # iptables -A INPUT -j REJECT
# lsmod | grep nft_compat
nft_compat             20480  1
nf_tables             286720  4 nft_compat
x_tables               61440  2 nft_compat,ipt_REJECT
nfnetlink              20480  2 nft_compat,nf_tables
# nft --debug=netlink list ruleset
ip filter INPUT 2 
  [ counter pkts 8 bytes 608 ]
  [ immediate reg 0 accept ]

ip filter INPUT 3 2 
  [ counter pkts 0 bytes 0 ]
  [ target name REJECT rev 0 ]

table ip filter {
    chain INPUT {
        type filter hook input priority filter; policy accept;
        counter packets 8 bytes 608 accept
        counter packets 0 bytes 0 reject
    }
}
#

    Qualquer entrada exibida por nft --debug=netlink ...isso inclui target name(para iptables-nft .. -j target ) ou match name(para iptables-nft ... -m module ) significa que está usando o x_tablesmódulo do kernel correspondente por meio do nft_compatmódulo de compatibilidade.

    Para se livrar dele, não use iptables-nftnenhuma ferramenta que use suas bibliotecas (libip4tc2, ...). É claro que reverter para iptables-legacy(se for fornecido?) Seria pior: este destina-se a se tornar obsoleto no upstream e a camada de compatibilidade deve ser mantida por um longo tempo para substituí-lo.

    Isso provavelmente significa: não use Docker, não use podman, não use...

    Conclusão: não vejo como você pode se livrar desta mensagem.

    • 0

relate perguntas