Tôi đã tạo thành công phiên bản hệ thống Ubuntu không đĩa thông qua trang trợ giúp cộng đồng này và nó hoạt động hoàn hảo. Tuy nhiên, tôi muốn kích hoạt tường lửa bằng UFW và khi tôi cố gắng thực hiện điều đó thì sự cố đã xuất hiện.
Là một phần của hướng dẫn trên trang trợ giúp, tôi đã chuẩn bị "hệ thống tệp" hoàn chỉnh với cài đặt khác và hệ điều hành đã khởi động sẵn với các cài đặt của tôi ở đó (đã cài đặt các gói cần thiết, thay đổi cấu hình, ...). Sau đó, tôi đã sao chép nó vào thư mục NFS và khởi động nó qua máy không đĩa. Mọi thứ đã được tải thành công (in ra trạng thái OK khi bắt đầu từng dịch vụ lên bảng điều khiển) cho đến thời điểm trình tải có thời gian bắt đầu không giới hạn được hiển thị. Một trong những dịch vụ bắt đầu cũng là UFW. Tại một số điểm, hệ thống không phản hồi (tôi vẫn có thể di chuyển bảng điều khiển bằng Shift-Pg Lên/Xuống, nhưng không có gì thực sự xảy ra ở đó). Tôi không thể giải quyết vấn đề đó cho đến khi tôi phát hiện ra UFW là vấn đề chính gây ra điều này. Vì vậy, tôi đã tắt UFW trong /etc/ufw/ufw.conf
(trực tiếp trên máy chủ NFS) và thử khởi động lại. Lúc đó mọi thứ diễn ra tốt đẹp và hệ thống đã được khởi động thành công.
Nhưng tôi vẫn muốn bật UFW, vì vậy tôi đã cố gắng thực hiện điều đó trực tiếp từ máy. Và có cùng một vấn đề xuất hiện trở lại. Ngay sau khi tôi thực hiện kích hoạt ufw
hệ thống trở nên không phản hồi. Tôi đã chụp đầu ra từ dmesg khi lệnh này thực thi:
[ xxxx.xxxxxx ] bpfilter: Đã tải bpfilter_umh pid 748
[ xxxx.xxxxxx ] Đã bắt đầu lọc
Và sau đó hệ thống không phản hồi trong 2 phút, khi tôi nhận được một vài tin nhắn khác:
[ xxxx.xxxxxx ] THÔNG TIN: task systemd-journal:278 bị chặn trong hơn 120 giây.
[ xxxx.xxxxxx ] Not tainted 5.4.0-86-generic #97-Ubuntu
[ xxxx.xxxxxx ] "echo 0 > /proc/sys/kernel/hung_task_timeout_secs" tắt thông báo này.
Tôi nghĩ có thể có vấn đề với các quy tắc mặc định không cho phép kết nối NFS. Vì vậy, tôi đã thêm các quy tắc tiếp theo (từng bước một và cố gắng bật UFW sau mỗi quy tắc):
ufw cho phép từ máy chủ 192.168.0.5 # NFS
ufw cho phép từ 192.168.0.0/24 # mạng cục bộ
ufw cho phép trên giao diện mạng máy khách eth0 #
Nhưng không may mắn với điều này (tôi cũng không mong đợi điều đó, vì những quy tắc đó không có bất kỳ tác động nào theo logic).
Vì vậy, bây giờ tôi đang ở đây, không có bất kỳ ý tưởng nào vào lúc này về cách thực hiện bất kỳ tiến trình nào về việc này. Tôi cũng có thể chỉ ra rằng có một vấn đề khác trong dmesg, nhưng nó có thể không liên quan gì đến vấn đề với UFW:
[ xxx.xxxxxx] systemd-journald[276]: Không thể đặt ACL trên /var/log/jorunal/.../user-101.journal, bỏ qua: Thao tác không được phép
Tôi tin rằng phải có một số quy tắc với UFW, theo mặc định, từ chối quyền truy cập vào chia sẻ NFS và do đó toàn bộ hệ thống bị treo. Bất kỳ đề xuất/điểm nào đi đúng hướng sẽ được đánh giá rất cao.
CHỈNH SỬA:
đầu ra iptables khi bật UFW và các quy tắc của tôi cũng được thêm vào (được sao chép từ bản cài đặt gốc) ở đây: https://Pastebin.com/rp5QWLCh