He trobat això https://selivan.github.io/2018/07/27/ipset-save-with-ufw-and-iptables-persistent-and.html però de moment m'han passat les ganes de jugar-hi :-D
Missatge de Lluís Gras <[email protected]> del dia dg., 29 d’ag. 2021 a les 20:29: > Bones, > > Si no ho tinc mal entès, des de Buster que iptables ja es un "wrapper" de > nftables. > > root@gwbox:~# iptables > iptables v1.8.2 (nf_tables): no command specified > > que serà molt mono, entenedor i que ja incorpora la funcionalitat d'ipset > de sèrie, però que per bastir un tallafoc des de zero genera una mica de > mandra, de fet la sortida actual de > > root@ns:~# nft list ruleset | wc -l > 408 > > es prou llarga com per desanimar al més pacient. I jo, de moment el que > vull és quelcom senzillet i personalitzable com ufw. > > En qualsevol cas, gràcies per la referència. > > > > > > > > > Missatge de Josep Lladonosa <[email protected]> del dia dg., 29 d’ag. > 2021 a les 16:27: > >> Hola, >> >> He seguit els teus missatges. He fet una cerca "ufw bullseye" i he trobat >> un fil on diuen de canviar d'iptables a nftables. Probablement se't resol >> la qüestió. >> >> https://forums.debian.net/viewtopic.php?f=16&t=143876 >> >> SALUT! >> Josep >> >> >> On Sun, 29 Aug 2021 at 10:08, Lluís Gras <[email protected]> wrote: >> >>> No sembla un problema de permisos. >>> >>> Ambdues màquines tenen el mateix contingut >>> a /lib/systemd/system/netfilter-persistent.service que en teoria s'hauria >>> d'encarregar de fer persistents els conjunts d'ipset. >>> >>> root@ns:~# systemctl status netfilter-persistent.service >>> ● netfilter-persistent.service - netfilter persistent configuration >>> Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; >>> enabled; vendor preset: enabled) >>> Drop-In: /etc/systemd/system/netfilter-persistent.service.d >>> └─ipset.conf >>> Active: active (exited) since Sun 2021-08-29 09:21:28 CEST; 16min >>> ago >>> Docs: man:netfilter-persistent(8) >>> Process: 683 ExecStart=/usr/sbin/netfilter-persistent start >>> (code=exited, status=0/SUCCESS) >>> Main PID: 683 (code=exited, status=0/SUCCESS) >>> CPU: 11ms >>> >>> d’ag. 29 09:21:28 ns netfilter-persistent[691]: run-parts: executing >>> /usr/share/netfilter-persistent/plugins.d/10-ipset start >>> d’ag. 29 09:21:28 ns netfilter-persistent[691]: run-parts: executing >>> /usr/share/netfilter-persistent/plugins.d/40-ipset start >>> d’ag. 29 09:21:28 ns systemd[1]: Starting netfilter persistent >>> configuration... >>> d’ag. 29 09:21:28 ns systemd[1]: Finished netfilter persistent >>> configuration. >>> >>> En fi que tampoc és que em passi les hores reiniciant amb lo que de >>> moment es quedarà com esta amb l'ufw reload. >>> >>> Gràcies. >>> Missatge de R. Sicart <[email protected]> del dia ds., 28 d’ag. >>> 2021 a les 17:03: >>> >>>> Sembla més aviat el fitxer /etc/ufw/before.rules >>>> que no pas el unit file. Els permisos són els mateixos ? >>>> -- >>>> >>>> R. Sicart >>>> >>>> 28 août 2021 16:10:53 Lluís Gras <[email protected]>: >>>> >>>> Així sembla ... >>>> >>>> Però és que tant en el cas (D10) com en l'altre (D11) el >>>> fitxer /lib/systemd/system/ufw.service és el mateix >>>> >>>> root@gwbox:~# cat /lib/systemd/system/ufw.service >>>> [Unit] >>>> Description=Uncomplicated firewall >>>> Documentation=man:ufw(8) >>>> DefaultDependencies=no >>>> Before=network.target >>>> >>>> [Service] >>>> Type=oneshot >>>> RemainAfterExit=yes >>>> ExecStart=/lib/ufw/ufw-init start quiet >>>> ExecStop=/lib/ufw/ufw-init stop >>>> >>>> [Install] >>>> WantedBy=multi-user.target >>>> >>>> >>>> I el paquet ipset no te cap entrada a systemd. >>>> >>>> >>>> Missatge de R. Sicart <[email protected]> del dia ds., 28 d’ag. >>>> 2021 a les 15:50: >>>> >>>>> Bones, >>>>> >>>>> No he fet servir mai ufw, però pel missatge d'error "(nf_tables): Set >>>>> Firehol_L1 doesn't exist >>>>> " sembla que, quan el servei systemd arranca, Firehol_L1 encara no >>>>> existeix. >>>>> >>>>> Sort ! >>>>> >>>> >> >> -- >> -- >> Salutacions...Josep >> -- >> >
