Debian 7, неадекватная работа iptables+geoip

Автор zrad, 15 марта 2019, 00:42:14

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

zrad

Всем привет
Установил xtables из main репозитория, подтянулась версия 1.42-2. Установил также базу geoip. В основном пользовался инструкцией отсюда: https://debian.pro/510, с небольшими коррекциями ввиду изменений в версиях.
Все пакеты встали, правила iptables применяются, но с неожиданным результатом.

Если делаю так:
iptables -I INPUT -i eth0 -m geoip --src-cc EU, DE -j DROP
то ничего не происходит, пакеты к и от хостов государств, которые должны быть заблокированы, проходят в обоих направлениях. Проверял, в том числе, посредством https://ping.eu/ping/.

Если же делаю так:
iptables -I INPUT -i eth0 -m geoip ! --src-cc RU -j DROP
То блокируются тотально все пакеты, вне зависимости от направлений. Причем, если исключить из правила -i eth0 (на eth1 висит приватный ip, а интерфейс подключен к приватной сети), то блокировка также распространяется и на приватные сети.

О системе:
Открыть содержимое (спойлер)

# uname -a
Linux 3.2.0-4-686-pae #1 SMP Debian 3.2.88-1 i686 GNU/Linux

# iptables --version
iptables v1.4.14

# dpkg -l | grep xtable
ii  xtables-addons-common                  1.42-2+b1                          i386         Extensions targets and matches for iptables [tools, libs]
ii  xtables-addons-dkms                    1.42-2                             all          Extensions targets and matches for iptables
ii  xtables-addons-modules-3.2.0-4-686-pae 1.42-2                             i386         xtables-addons modules for Linux (kernel 3.2.0-4-686-pae).
ii  xtables-addons-source                  1.42-2                             


[свернуть]

На всякий случай strace:
#strace iptables -I INPUT -i eth0 -m geoip --src-cc RU -j DROP:
Открыть содержимое (спойлер)
execve("/sbin/iptables", ["iptables", "-I", "INPUT", "-i", "eth0", "-m", "geoip", "--src-cc", "RU", "-j", "DROP"], [/* 18 vars */]) = 0 brk(0)                                  = 0x86d2000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
mmap2(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb77b0000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=32820, ...}) = 0
mmap2(NULL, 32820, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb77a7000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/libip4tc.so.0", O_RDONLY)    = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0000\21\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=26308, ...}) = 0
mmap2(NULL, 29108, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb779f000
mmap2(0xb77a5000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x5) = 0xb77a5000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/libip6tc.so.0", O_RDONLY)    = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\0\23\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=30404, ...}) = 0
mmap2(NULL, 33204, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7796000
mprotect(0xb779c000, 4096, PROT_NONE)   = 0
mmap2(0xb779d000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x6) = 0xb779d000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/libxtables.so.7", O_RDONLY)  = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0p'\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=46772, ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7795000
mmap2(NULL, 51332, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7788000
mmap2(0xb7793000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0xa) = 0xb7793000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/i386-linux-gnu/i686/cmov/libm.so.6", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\2604\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=148996, ...}) = 0
mmap2(NULL, 151680, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7762000
mmap2(0xb7786000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x23) = 0xb7786000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/i386-linux-gnu/i686/cmov/libc.so.6", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\240o\1\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0755, st_size=1458344, ...}) = 0
mmap2(NULL, 1472888, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb75fa000
mprotect(0xb775b000, 4096, PROT_NONE)   = 0
mmap2(0xb775c000, 12288, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x161) = 0xb775c000
mmap2(0xb775f000, 10616, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xb775f000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/i386-linux-gnu/i686/cmov/libdl.so.2", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0`\n\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=9844, ...}) = 0
mmap2(NULL, 12408, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb75f6000
mmap2(0xb75f8000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1) = 0xb75f8000
close(3)                                = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb75f5000
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb75f4000
set_thread_area({entry_number:-1 -> 6, base_addr:0xb75f46c0, limit:1048575, seg_32bit:1, contents:0, read_exec_only:0, limit_in_pages:1, seg_not_present:0, useable:1}) = 0
mprotect(0xb75f8000, 4096, PROT_READ)   = 0
mprotect(0xb775c000, 8192, PROT_READ)   = 0
mprotect(0xb7786000, 4096, PROT_READ)   = 0
mprotect(0xb7793000, 4096, PROT_READ)   = 0
mprotect(0xb779d000, 4096, PROT_READ)   = 0
mprotect(0xb77a5000, 4096, PROT_READ)   = 0
mprotect(0x805b000, 4096, PROT_READ)    = 0
mprotect(0xb77cf000, 4096, PROT_READ)   = 0
munmap(0xb77a7000, 32820)               = 0
stat64("/lib/xtables/libxt_geoip.so", {st_mode=S_IFREG|0644, st_size=9848, ...}) = 0
brk(0)                                  = 0x86d2000
brk(0x86f3000)                          = 0x86f3000
open("/lib/xtables/libxt_geoip.so", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0`\n\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=9848, ...}) = 0
mmap2(NULL, 12692, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb77ac000
mmap2(0xb77ae000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1) = 0xb77ae000
close(3)                                = 0
mprotect(0xb77ae000, 4096, PROT_READ)   = 0
open("/usr/share/xt_geoip/LE/RU.iv4", O_RDONLY|O_LARGEFILE) = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=64, ...}) = 0
read(3, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., 64) = 64
close(3)                                = 0
stat64("/lib/xtables/libxt_standard.so", {st_mode=S_IFREG|0644, st_size=5508, ...}) = 0
open("/lib/xtables/libxt_standard.so", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\320\4\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=5508, ...}) = 0
mmap2(NULL, 8352, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb77a9000
mmap2(0xb77aa000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0) = 0xb77aa000
close(3)                                = 0
mprotect(0xb77aa000, 4096, PROT_READ)   = 0
socket(PF_INET, SOCK_RAW, IPPROTO_RAW)  = 3
fcntl64(3, F_SETFD, FD_CLOEXEC)         = 0
getsockopt(3, SOL_IP, 0x40 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., [84]) = 0
getsockopt(3, SOL_IP, 0x41 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., [9420]) = 0
setsockopt(3, SOL_IP, 0x40 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., 9808) = 0
setsockopt(3, SOL_IP, 0x41 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., 820) = 0
close(3)                                = 0
exit_group(0)
[свернуть]

# strace iptables -I INPUT -i eth0 -m geoip ! --src-cc RU -j DROP:
Открыть содержимое (спойлер)
execve("/sbin/iptables", ["iptables", "-I", "INPUT", "-i", "eth0", "-m", "geoip", "!", "--src-cc", "RU", "-j", "DROP"], [/* 18 vars */]) = 0
brk(0)                                  = 0x8600000
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
mmap2(NULL, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7793000
access("/etc/ld.so.preload", R_OK)      = -1 ENOENT (No such file or directory)
open("/etc/ld.so.cache", O_RDONLY)      = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=32820, ...}) = 0
mmap2(NULL, 32820, PROT_READ, MAP_PRIVATE, 3, 0) = 0xb778a000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/libip4tc.so.0", O_RDONLY)    = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0000\21\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=26308, ...}) = 0
mmap2(NULL, 29108, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7782000
mmap2(0xb7788000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x5) = 0xb7788000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/libip6tc.so.0", O_RDONLY)    = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\0\23\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=30404, ...}) = 0
mmap2(NULL, 33204, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7779000
mprotect(0xb777f000, 4096, PROT_NONE)   = 0
mmap2(0xb7780000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x6) = 0xb7780000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/libxtables.so.7", O_RDONLY)  = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0p'\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=46772, ...}) = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb7778000
mmap2(NULL, 51332, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb776b000
mmap2(0xb7776000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0xa) = 0xb7776000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/i386-linux-gnu/i686/cmov/libm.so.6", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\2604\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=148996, ...}) = 0
mmap2(NULL, 151680, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb7745000
mmap2(0xb7769000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x23) = 0xb7769000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/i386-linux-gnu/i686/cmov/libc.so.6", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\240o\1\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0755, st_size=1458344, ...}) = 0
mmap2(NULL, 1472888, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb75dd000
mprotect(0xb773e000, 4096, PROT_NONE)   = 0
mmap2(0xb773f000, 12288, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x161) = 0xb773f000
mmap2(0xb7742000, 10616, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_ANONYMOUS, -1, 0) = 0xb7742000
close(3)                                = 0
access("/etc/ld.so.nohwcap", F_OK)      = -1 ENOENT (No such file or directory)
open("/lib/i386-linux-gnu/i686/cmov/libdl.so.2", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0`\n\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=9844, ...}) = 0
mmap2(NULL, 12408, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb75d9000
mmap2(0xb75db000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1) = 0xb75db000
close(3)                                = 0
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb75d8000
mmap2(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xb75d7000
set_thread_area({entry_number:-1 -> 6, base_addr:0xb75d76c0, limit:1048575, seg_32bit:1, contents:0, read_exec_only:0, limit_in_pages:1, seg_not_present:0, useable:1}) = 0
mprotect(0xb75db000, 4096, PROT_READ)   = 0
mprotect(0xb773f000, 8192, PROT_READ)   = 0
mprotect(0xb7769000, 4096, PROT_READ)   = 0
mprotect(0xb7776000, 4096, PROT_READ)   = 0
mprotect(0xb7780000, 4096, PROT_READ)   = 0
mprotect(0xb7788000, 4096, PROT_READ)   = 0
mprotect(0x805b000, 4096, PROT_READ)    = 0
mprotect(0xb77b2000, 4096, PROT_READ)   = 0
munmap(0xb778a000, 32820)               = 0
stat64("/lib/xtables/libxt_geoip.so", {st_mode=S_IFREG|0644, st_size=9848, ...}) = 0
brk(0)                                  = 0x8600000
brk(0x8621000)                          = 0x8621000
open("/lib/xtables/libxt_geoip.so", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0`\n\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=9848, ...}) = 0
mmap2(NULL, 12692, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb778f000
mmap2(0xb7791000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0x1) = 0xb7791000
close(3)                                = 0
mprotect(0xb7791000, 4096, PROT_READ)   = 0
open("/usr/share/xt_geoip/LE/RU.iv4", O_RDONLY|O_LARGEFILE) = 3
fstat64(3, {st_mode=S_IFREG|0644, st_size=64, ...}) = 0
read(3, "\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., 64) = 64
close(3)                                = 0
stat64("/lib/xtables/libxt_standard.so", {st_mode=S_IFREG|0644, st_size=5508, ...}) = 0
open("/lib/xtables/libxt_standard.so", O_RDONLY) = 3
read(3, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\3\0\3\0\1\0\0\0\320\4\0\0004\0\0\0"..., 512) = 512
fstat64(3, {st_mode=S_IFREG|0644, st_size=5508, ...}) = 0
mmap2(NULL, 8352, PROT_READ|PROT_EXEC, MAP_PRIVATE|MAP_DENYWRITE, 3, 0) = 0xb778c000
mmap2(0xb778d000, 8192, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_FIXED|MAP_DENYWRITE, 3, 0) = 0xb778d000
close(3)                                = 0
mprotect(0xb778d000, 4096, PROT_READ)   = 0
socket(PF_INET, SOCK_RAW, IPPROTO_RAW)  = 3
fcntl64(3, F_SETFD, FD_CLOEXEC)         = 0
getsockopt(3, SOL_IP, 0x40 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., [84]) = 0
getsockopt(3, SOL_IP, 0x41 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., [9420]) = 0
setsockopt(3, SOL_IP, 0x40 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., 9808) = 0
setsockopt(3, SOL_IP, 0x41 /* IP_??? */, "filter\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0\0"..., 820) = 0
close(3)                                = 0
exit_group(0)                           = ?
[свернуть]

И вот здесь мне нужна помощь, т.к. пока не понимаю, что имеется в виду. То ли эти "(No such file or directory)" являются сообщением об ошибке, то ли так и должно быть. Но если это ошибки, то куда копать дальше? Не там пытается искать библиотеку? Почему и как это исправить?
Нид хелп.

Kato

ЦитироватьТо ли эти "(No such file or directory)" являются сообщением об ошибке
Что значит "то ли"? это так и есть!

zrad

Цитата: Kato от 15 марта 2019, 02:27:46Что значит "то ли"? это так и есть!
Углубленное гугление дало такой ответ: https://unix.stackexchange.com/questions/353310/where-to-get-etc-ld-so-nohwcap-file-from/353311, если верить которому, эти ошибки не являются по сути ошибками.
Цитировать/etc/ld.so.nohwcap When this file is present the dynamic linker will load the non-optimized version of a library, even if the CPU supports the optimized version.

Получается, проблема в чем-то еще.
Кто подскажет, куда копать?

zrad

Пробовал переустанавливать все, включая iptables. Попробовал добавить пустые файлы на место тех, на которые ругается strace (как рекомендовалось для использования неоптимизированных библиотек), при этом вместо ошибки strace пишет OK, но результат ничуть не меняется.
Неужели это аномалия какая-то?
Или это какая-то банальна моя ошибка и ответ настолько очевиден, что и гугл, и местные старожили считают зазорным ткнуть нуба носом?