Nem tudom, hogy nálad az iptables-restore miért nem tölti be a modulokat, azt sem, hogy az nálad miért külön csomag (vagy félreértettem a mondatodat), nálam pont ugyanabból az iptables-1.4.21.tar.bz2-ből jön létre, pont ugyanabban az iptables csomagban van, és pont ugyanúgy nincs gondja a modulok ondemand betöltésével.
A további modulokat felteszem már igen, az iptables.c-ben van egy explicit iptables_insmod hívás az ip_tables modulra, az iptables-restore.c-ben nincs.
if (!*handle)
*handle = iptc_init(*table);
if (!*handle) {
/* try to insmod the module if iptc_init failed */
iptables_insmod("ip_tables", modprobe);
*handle = iptc_init(*table);
}
Ugyanez a restore-nál:
handle = iptc_init(tablename);
if (!handle) {
exit_error(PARAMETER_PROBLEM, "%s: unable to initialize"
"table '%s'\n", program_name, tablename);
exit(1);
}
return handle;
És pont ez az, amit mondok: a fenti kódot copy-pastelni kéne az iptables-restore-ba is (és persze az iptables-save-be, ip6tables-restore-ba, ip6tables-save-be, ...), hogy ne kelljen az indítása előtt valakinek betöltenie a szükséges modult.
(alternatíva: a netfilter-persistent.service-be még egy ExecStart=modprobe ip_tables, de az meg nem működne, mert a egybe akarják fogni a netfilter dolgokat, ami saját plug-in kezeléssel jár, ezért batch script (a /usr/sbin/netfilter-persistent egy mappából indítgatja a plug-injeit...) oldja meg azt, amit több, független unit-nak kéne inkább [amik akár lehetnének WantedBy=netfilter-persistent.service-ek is]...)
[egyébként nem ez az egyetlen "systemd"-bug a Debian környékén és amíg ragaszkodnak az init scriptekhez, maradni is fog jó pár... nekem a személyes kedvencem a start-stop-daemon-os init scriptjeik, amik miatt a systemd-s process követés semmit nem ér... ha pl. egy lxc hoston és konténerben is fut egy winbind, a hoston indított winbind restart szépen lecsapja az összes konténer összes winbind processét...]
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)