为什么不能使用netfilter-持久加载iptables规则？

Question

man netfilter-persistent |grep start
       netfilter-persistent start
       start  Calls all plugins with the start argument, causing them to load their rules into netfilter.
       Plugins must implement the start flush and save arguments and must not rely on additional arguments for other functionality.

我的/etc/iptables/rules.v4中有一条规则。

 cat /etc/iptables/rules.v4 |grep porn
-A INPUT -m string --string "porn" --algo bm --to 65535 -j DROP

这里的规则还没有加载，使用sudo iptables -L |grep porn什么也得不到。网络过滤器-持久服务被激活。

sudo systemctl status netfilter-persistent |grep Active
   Active: active (exited) since Sat 2019-09-07 11:39:12 HKT; 15min ago

试着装上。

sudo systemctl start  netfilter-persistent 

检查规则是否已加载。

sudo iptables -L|grep porn

未加载，请尝试使用iptables-restore。

sudo iptables-restore < /etc/iptables/rules.v4
sudo iptables -L|grep porn
DROP       all  --  anywhere             anywhere             STRING match  "porn" ALGO name bm TO 65535

为什么sudo systemctl start netfilter-persistent不能像手册中所说的那样将规则加载到netfilter中？

ls /usr/share/netfilter-persistent/plugins.d
15-ip4tables  25-ip6tables

netfilter-persistent服务在启动时自动启动。

sudo systemctl enable netfilter-persistent

在启动netfilter-持久服务后，没有任何相关的日志记录输出。

Answer 1

netfilter-persistent是执行插件以加载netfilter规则的框架。iptables规则的插件名为iptables-persistent。你安装好了吗？

您可以通过检查netfilter-persistent使用的插件目录/usr/share/netfilter-persistent/plugins.d的内容来检查哪些插件正在运行。