suse 15.2 / docker / firewalld: ERROR: INVALID_ZONE: docker
![](https://seccdn.libravatar.org/avatar/ebe9e7470f033d101415722d029f0b24.jpg?s=120&d=mm&r=g)
Hallo allerseits ich habe heute SuSE 15.2 aktualisiert, dabei wurde ein neue Version von docker "aufgespielt". Nun startet docker (rcdocker start) nicht mehr..... journalctl -f liefert folgende Meldung Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:31 webserver dockerd[26874]: time="2021-02-13T13:47:31.709434256+01:00" level=warning msg="could not create bridge network forid 21bdfc7f40a4d6b50b83a695963e4b110a48d40fbec1741df38deb07e75afed8 bridge name docker0 while booting up from persistent state: Failed to program NAT chain: INVALID_ZONE: docker" Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:32 webserver dockerd[26874]: failed to start daemon: Error initializing network controller: Error creating default "bridge" network: Failed to program NAT chain: INVALID_ZONE: docker es scheint so, dass die Firefall-Zone docker fehlt. Kann kann ich machen? Bye Jürgen -- Dr.rer.nat. Jürgen Vollmer, Am Rennbuckel 21, D-76185 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
![](https://seccdn.libravatar.org/avatar/bff0c215e01f23fcee6fe49e65fae458.jpg?s=120&d=mm&r=g)
Hi, On Sat, Feb 13, 2021 at 02:06:41PM +0100, Dr. Juergen Vollmer wrote:
Hallo allerseits
ich habe heute SuSE 15.2 aktualisiert, dabei wurde ein neue Version von docker "aufgespielt".
Nun startet docker (rcdocker start) nicht mehr..... journalctl -f liefert folgende Meldung
Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:31 webserver dockerd[26874]: time="2021-02-13T13:47:31.709434256+01:00" level=warning msg="could not create bridge network forid 21bdfc7f40a4d6b50b83a695963e4b110a48d40fbec1741df38deb07e75afed8 bridge name docker0 while booting up from persistent state: Failed to program NAT chain: INVALID_ZONE: docker" Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:32 webserver dockerd[26874]: failed to start daemon: Error initializing network controller: Error creating default "bridge" network: Failed to program NAT chain: INVALID_ZONE: docker
es scheint so, dass die Firefall-Zone docker fehlt.
Kann kann ich machen?
Derzeit haben wir ein Docker update draussen das nicht startet wenn firewalld an ist. https://bugzilla.suse.com/show_bug.cgi?id=1182168 Ich queue gerade noch ein fix Dockerupdate das den kaputten Patch disabled. Ciao, Marcus
![](https://seccdn.libravatar.org/avatar/fe9ad51277ab246de267f489d6ecf157.jpg?s=120&d=mm&r=g)
Am Samstag, 13. Februar 2021, 15:23:47 CET schrieb Marcus Meissner:
Hi,
On Sat, Feb 13, 2021 at 02:06:41PM +0100, Dr. Juergen Vollmer wrote:
Hallo allerseits
ich habe heute SuSE 15.2 aktualisiert, dabei wurde ein neue Version von docker "aufgespielt".
Nun startet docker (rcdocker start) nicht mehr..... journalctl -f liefert folgende Meldung
Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:31 webserver dockerd[26874]: time="2021-02-13T13:47:31.709434256+01:00" level=warning msg="could not create bridge network forid 21bdfc7f40a4d6b50b83a695963e4b110a48d40fbec1741df38deb07e75afed8 bridge name docker0 while booting up from persistent state: Failed to program NAT chain: INVALID_ZONE: docker" Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:32 webserver dockerd[26874]: failed to start daemon: Error initializing network controller: Error creating default "bridge" network: Failed to program NAT chain: INVALID_ZONE: docker
es scheint so, dass die Firefall-Zone docker fehlt.
Kann kann ich machen?
Derzeit haben wir ein Docker update draussen das nicht startet wenn firewalld an ist.
https://bugzilla.suse.com/show_bug.cgi?id=1182168
Ich queue gerade noch ein fix Dockerupdate das den kaputten Patch disabled.
Wäre es nicht sinnvoller den aktuellen firewalld aus OBS auszurollen oder den der bei 15.2 dabei ist so zu patchen dass der die docker zone anlegt? Cheers MH
Ciao, Marcus
-- Mathias Homann Mathias.Homann@openSUSE.org Jabber (XMPP): lemmy@tuxonline.tech IRC: [Lemmy] on freenode and ircnet (bouncer active) telegram: https://telegram.me/lemmy98 keybase: https://keybase.io/lemmy gpg key fingerprint: 8029 2240 F4DD 7776 E7D2 C042 6B8E 029E 13F2 C102
![](https://seccdn.libravatar.org/avatar/ebe9e7470f033d101415722d029f0b24.jpg?s=120&d=mm&r=g)
Hi kann ich das "übliche" Update nun "gefahrlos" einspielen? Merci schon mal für die Antwort. Bye Jürgen Am Samstag, 13. Februar 2021, 15:23:47 CET schrieb Marcus Meissner:
Hi,
On Sat, Feb 13, 2021 at 02:06:41PM +0100, Dr. Juergen Vollmer wrote:
Hallo allerseits
ich habe heute SuSE 15.2 aktualisiert, dabei wurde ein neue Version von docker "aufgespielt".
Nun startet docker (rcdocker start) nicht mehr..... journalctl -f liefert folgende Meldung
Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:31 webserver dockerd[26874]: time="2021-02-13T13:47:31.709434256+01:00" level=warning msg="could not create bridge network forid 21bdfc7f40a4d6b50b83a695963e4b110a48d40fbec1741df38deb07e75afed8 bridge name docker0 while booting up from persistent state: Failed to program NAT chain: INVALID_ZONE: docker" Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:32 webserver dockerd[26874]: failed to start daemon: Error initializing network controller: Error creating default "bridge" network: Failed to program NAT chain: INVALID_ZONE: docker
es scheint so, dass die Firefall-Zone docker fehlt.
Kann kann ich machen?
Derzeit haben wir ein Docker update draussen das nicht startet wenn firewalld an ist.
https://bugzilla.suse.com/show_bug.cgi?id=1182168
Ich queue gerade noch ein fix Dockerupdate das den kaputten Patch disabled.
Ciao, Marcus
-- Dr.rer.nat. Jürgen Vollmer, Am Rennbuckel 21, D-76185 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
![](https://seccdn.libravatar.org/avatar/bff0c215e01f23fcee6fe49e65fae458.jpg?s=120&d=mm&r=g)
Hi, Sollte gehen, feedback von anderen war positiv. Ciao, Marcus On Tue, Feb 16, 2021 at 08:12:43AM +0100, Dr. Juergen Vollmer wrote:
Hi
kann ich das "übliche" Update nun "gefahrlos" einspielen?
Merci schon mal für die Antwort.
Bye Jürgen
Am Samstag, 13. Februar 2021, 15:23:47 CET schrieb Marcus Meissner:
Hi,
On Sat, Feb 13, 2021 at 02:06:41PM +0100, Dr. Juergen Vollmer wrote:
Hallo allerseits
ich habe heute SuSE 15.2 aktualisiert, dabei wurde ein neue Version von docker "aufgespielt".
Nun startet docker (rcdocker start) nicht mehr..... journalctl -f liefert folgende Meldung
Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:31 webserver dockerd[26874]: time="2021-02-13T13:47:31.709434256+01:00" level=warning msg="could not create bridge network forid 21bdfc7f40a4d6b50b83a695963e4b110a48d40fbec1741df38deb07e75afed8 bridge name docker0 while booting up from persistent state: Failed to program NAT chain: INVALID_ZONE: docker" Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:32 webserver dockerd[26874]: failed to start daemon: Error initializing network controller: Error creating default "bridge" network: Failed to program NAT chain: INVALID_ZONE: docker
es scheint so, dass die Firefall-Zone docker fehlt.
Kann kann ich machen?
Derzeit haben wir ein Docker update draussen das nicht startet wenn firewalld an ist.
https://bugzilla.suse.com/show_bug.cgi?id=1182168
Ich queue gerade noch ein fix Dockerupdate das den kaputten Patch disabled.
Ciao, Marcus
-- Dr.rer.nat. Jürgen Vollmer, Am Rennbuckel 21, D-76185 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
-- Marcus Meissner, Project Manager Security SUSE Software Solutions Germany GmbH, Maxfeldstr. 5, 90409 Nuernberg, Germany, GF: Felix Imendoerffer, HRB 36809, AG Nuernberg
![](https://seccdn.libravatar.org/avatar/ebe9e7470f033d101415722d029f0b24.jpg?s=120&d=mm&r=g)
Hi Hintergrund: ich nutze nextcloud + collabora im docker. ok, ich habe jetzt gerade ein 'zypper up' gefolgt von reboot durchgeführt. alles läuft. rcfirestatus zeigt aber: firewalld: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -t filter -F DOCKER' failed: iptables: No chain/target/match by that name. firewalld: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -t filter -X DOCKER' failed: iptables: No chain/target/match by that name. firewalld: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -t filter -F DOCKER-ISOLATION-STAGE-1' failed: iptables: No chain/target/match by that name. firewalld: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -t filter -X DOCKER-ISOLATION-STAGE-1' failed: iptables: No chain/target/match by that name. firewalld: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -t filter -F DOCKER-ISOLATION-STAGE-2' failed: iptables: No chain/target/match by that name. firewalld: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -t filter -X DOCKER-ISOLATION-STAGE-2' failed: iptables: No chain/target/match by that name. firewalld: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -t filter -F DOCKER-ISOLATION' failed: iptables: No chain/target/match by that name.firewalld[952]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -t filter -X DOCKER-ISOLATION' failed: iptables: No chain/target/match by that name. firewalld[952]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). firewalld: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Führe ich firewall-cmd --list-all-zones aus, wird mir keine "docker" Zone angezeigt. Ok. "es tut ja...." Dann: aktualisiere ich den container docker pull collabora/code und reboote den Rechner (genauer die VMware mit der SUSE leap 15.2) Der Docker-Container startet, ich kann mich in ihm anmelden: docker exec -it collabora /bin/bash dennoch kann sich ich keine docx Dateien via web-Interface in der Nextcloud öffnen rcfirewalld status zeigt, dass firewalld läuft und gibt folgende Warnung aus: firewalld: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Irgendwie ist da doch der Wurm drin.... Also wieder Backup eingespielt..... Bin für alle Tips dankbar Bye Jürgen Am Dienstag, 16. Februar 2021, 08:15:57 CET schrieb Marcus Meissner:
Hi,
Sollte gehen, feedback von anderen war positiv.
Ciao, Marcus On Tue, Feb 16, 2021 at 08:12:43AM +0100, Dr. Juergen Vollmer wrote:
Hi
kann ich das "übliche" Update nun "gefahrlos" einspielen?
Merci schon mal für die Antwort.
Bye Jürgen
Am Samstag, 13. Februar 2021, 15:23:47 CET schrieb Marcus Meissner:
Hi,
On Sat, Feb 13, 2021 at 02:06:41PM +0100, Dr. Juergen Vollmer wrote:
Hallo allerseits
ich habe heute SuSE 15.2 aktualisiert, dabei wurde ein neue Version von docker "aufgespielt".
Nun startet docker (rcdocker start) nicht mehr..... journalctl -f liefert folgende Meldung
Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:31 webserver dockerd[26874]: time="2021-02-13T13:47:31.709434256+01:00" level=warning msg="could not create bridge network forid 21bdfc7f40a4d6b50b83a695963e4b110a48d40fbec1741df38deb07e75afed8 bridge name docker0 while booting up from persistent state: Failed to program NAT chain: INVALID_ZONE: docker" Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:32 webserver dockerd[26874]: failed to start daemon: Error initializing network controller: Error creating default "bridge" network: Failed to program NAT chain: INVALID_ZONE: docker
es scheint so, dass die Firefall-Zone docker fehlt.
Kann kann ich machen?
Derzeit haben wir ein Docker update draussen das nicht startet wenn firewalld an ist.
https://bugzilla.suse.com/show_bug.cgi?id=1182168
Ich queue gerade noch ein fix Dockerupdate das den kaputten Patch disabled.
Ciao, Marcus
-- Dr.rer.nat. Jürgen Vollmer, Am Rennbuckel 21, D-76185 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de
![](https://seccdn.libravatar.org/avatar/ebe9e7470f033d101415722d029f0b24.jpg?s=120&d=mm&r=g)
Hi kann ich das "übliche" Update nun "gefahrlos" einspielen? Merci schon mal für die Antwort. Bye Jürgen Am Samstag, 13. Februar 2021, 15:23:47 CET schrieb Marcus Meissner:
Hi,
On Sat, Feb 13, 2021 at 02:06:41PM +0100, Dr. Juergen Vollmer wrote:
Hallo allerseits
ich habe heute SuSE 15.2 aktualisiert, dabei wurde ein neue Version von docker "aufgespielt".
Nun startet docker (rcdocker start) nicht mehr..... journalctl -f liefert folgende Meldung
Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:31 webserver dockerd[26874]: time="2021-02-13T13:47:31.709434256+01:00" level=warning msg="could not create bridge network forid 21bdfc7f40a4d6b50b83a695963e4b110a48d40fbec1741df38deb07e75afed8 bridge name docker0 while booting up from persistent state: Failed to program NAT chain: INVALID_ZONE: docker" Feb 13 13:47:31 webserver firewalld[26301]: WARNING: COMMAND_FAILED: '/usr/sbin/iptables -w2 -D FORWARD -i docker0 -o docker0 -j DROP' failed: iptables: Bad rule (does a matching rule exist in that chain?). Feb 13 13:47:31 webserver firewalld[26301]: ERROR: INVALID_ZONE: docker Feb 13 13:47:32 webserver dockerd[26874]: failed to start daemon: Error initializing network controller: Error creating default "bridge" network: Failed to program NAT chain: INVALID_ZONE: docker
es scheint so, dass die Firefall-Zone docker fehlt.
Kann kann ich machen?
Derzeit haben wir ein Docker update draussen das nicht startet wenn firewalld an ist.
https://bugzilla.suse.com/show_bug.cgi?id=1182168
Ich queue gerade noch ein fix Dockerupdate das den kaputten Patch disabled.
Ciao, Marcus
-- Dr.rer.nat. Jürgen Vollmer, Am Rennbuckel 21, D-76185 Karlsruhe Tel: +49(721) 92 04 87 1 Fax: +49(721) 92 04 87 2 Juergen.Vollmer@informatik-vollmer.de www.informatik-vollmer.de ------------------------------------------------------------------------------- Diese EMail ist elektronisch mittels GPG / PGP signiert. Diese elektronische Unterschrift ist in einem EMail-Anhang enthalten. Leider kann die Signatur ohne die Installation entsprechender Programme weder geprüft noch angezeigt werden. Mehr dazu unter: http://www.gnupg.org oder auch http://www.pgpi.org -------------------------------------------------------------------------------
participants (3)
-
Dr. Juergen Vollmer
-
Marcus Meissner
-
Mathias Homann