Erreur netfilter-persistent lors d'un reboot

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Erreur netfilter-persistent lors d'un reboot

Malakai

Salut la communauté,

Je dispose de 2 serveurs dédiés, un chez Kimsufi et l'autre chez Online.
Les 2 disposent de Debian 9 (à jour) et normalement doivent avoir les mêmes paquets/programmes installés (les 2 servent les mêmes services).
Pour automatiser la mise en place des règles iptables au démarrage j'ai installé iptables-persistent qui permet de charger les règles pré-configurées au démarrage de l'OS.
Aujourd'hui j'ai du rebooter les 2 machines (suite à la mise a jour du kernel) et sur la machine Kimsufi les règles ont été correctement appliquées, alors que sur la machine Online non.
En regardant le status du service netfilter-persistent sur la machine Online, j'ai observé que le service était tombé en erreur (visible également dans les logs) :

netfilter-persistent[574]: run-parts: executing /usr/share/netfilter-persistent/plugins.d/15-ip4tables start
netfilter-persistent[574]: run-parts: /usr/share/netfilter-persistent/plugins.d/15-ip4tables exited with return code 1
systemd[1]: netfilter-persistent.service: Main process exited, code=exited, status=1/FAILURE
systemd[1]: Failed to start netfilter persistent configuration.
systemd[1]: netfilter-persistent.service: Unit entered failed state.
systemd[1]: netfilter-persistent.service: Failed with result 'exit-code'.

J'ai par la suite comparé le fichier /usr/share/netfilter-persistent/plugins.d/15-ip4tables (diff) entre les 2 machines et il est identique.
En relançant le service (systemctl start netfilter-persistent) les règles sont bien chargées (sauf qu’après je dois relancer plusieurs autres programmes qui mettent des règles spécifiques, puisque le service les vire).
La seule idée qui me vient c'est que le service netfilter-persistent est lancé trop tôt lors du démarrage sur la machine Online (genre avant que le réseau ne soit dispo???) mais en comparant les fichiers services des 2 machines, à nouveau ils sont identiques (même si dans le fichier service on retrouve bien Before=network-pre.target et Wants=network-pre.target dans les 2 cas).
Bref, une recherche sur le web ne m'a pas beaucoup éclairé et je ne sais pas comment mener l'investigation plus loin afin de comprendre pourquoi le service tombe en erreur uniquement sur la machine Online.
Si vous avez une idée, je suis preneur, sinon, je noterais quelque part de ne pas oublier de relancer le service netfilter-persistent après chaque redémarrage (qui heureusement n'arrive pas si souvent).

Merci.

Malakai

Aujourd'hui j'ai eu besoin de redémarrer le serveur chez Kimsufi et j'ai eu droit au même soucis (erreur du service netfilter-persistent).
Frustré, je me suis lancé dans des redémarrages (heureusement que ces serveurs ne servent à personne d'autre) et c'est au pif. Un coup le service est correctement lancé, un coup non et ça sur les 2 machines.
J'ai même édité le script lançant la commande iptables-restore pour avoir un log et tout ce que j'ai pu récupérer c'est une erreur se plaignant d'un problème sur la ligne 26 de mon fichier /etc/iptables/rules.v4 (à cette ligne se trouve le dernier COMMIT du fichier).
Bref, je sais toujours pas pourquoi ça ne marche pas au reboot mais maintenant je sais que les 2 serveurs sont touchés.

Aerya

Et en le faisant "à la main" ?

Puis les activer en cas de reboot de la machine. Pour ça il y a plusieurs solutions dont

– On place un script qui lancera nos règles IPtables après chaque démarrage de l’interface réseau

sudo nano /etc/network/if-pre-up.d/firewall

– On y place notre script de lancement des règles et on sauvegarde

#!/bin/sh
/sbin/iptables-restore < /etc/iptables.firewall.rules

– Et enfin on le rend exécutable

sudo chmod +x /etc/network/if-pre-up.d/firewall

Malakai

J'ai pas tenté la solution if-pre-up.d car je me suis dis que s'il y avait un service pour ça, valait mieux l'utiliser.
En même temps, je mettrais plutôt la commande iptables-restore dans la définition de l'interface réseau du serveur dans /etc/network/interfaces car j'ai également des interfaces vpn et je ne voudrais pas que le pare-feu se relance lorsque ces interfaces deviennent disponibles (les règles pour ces interfaces sont appelées par d'autres scripts).
Sinon, en faisant 'à la main' un iptables-restore < /etc/iptables.firewall.rules lorsque le service est tombé en erreur marche à tous les coups (d’où mon incompréhension quant à l'erreur rencontrée une fois sur 2 lorsque le service est lancé lors du reboot).
Je tenterais le coup du lancement de iptables-restore depuis la définition de l'interface réseau dans /etc/network/interfaces quand je pourrais à nouveau faire une série de redémarrages.
Merci @Aerya pour l’idée.