<p dir="ltr"></p>
<p dir="ltr">On 30 Jul 2016 2:46 p.m., "Patrick Schleizer" <<a href="mailto:patrick-mailinglists@whonix.org">patrick-mailinglists@whonix.org</a>> wrote:<br>
><br>
> Felipe Sateler:<br>
> > On 30 July 2016 at 13:58, Patrick Schleizer<br>
> > <<a href="mailto:patrick-mailinglists@whonix.org">patrick-mailinglists@whonix.org</a>> wrote:<br>
> >> How to securely load a firewall before networking gets up?<br>
> >><br>
> >> Can you provide a secure, recommended or even canonical example of such<br>
> >> a firewall.service?<br>
> >><br>
> >> It does not become clear from systemd documentation [0] that<br>
> >> DefaultDependencies=no should be used. I also asked about this on the<br>
> >> system mailing list [3], but I am still not certain I understand right.<br>
> >><br>
> >> Since at least firewalld [1] and netfilter-persistent [2] have broken<br>
> >> systemd dependencies (which could result in the firewalls being load too<br>
> >> late), I thought a little more attention on this topic might be justified.<br>
> >><br>
> >> Is there something Debian specific about the network-pre.target or other<br>
> >> special systemd targets?<br>
> ><br>
> > The problem is that network-pre doesn't have any ordering wrt to<br>
> > basic.target, and thus can occur before that target is reached. This<br>
> > means that any unit that tries to order before network-pre.target<br>
> > needs to set DefaultDependencies=no, and list all the required<br>
> > dependencies and mounts.<br>
> ><br>
><br>
> Is this Debian specific? Something that can be considered a something<br>
> that could/should be explained/reported to systemd?</p>
<p dir="ltr">This is not debian specific. Network might be required to mount /var, so if firewalls should start before the network then they should be prepared to start relatively early during boot.<br></p>
<p dir="ltr">><br>
> _______________________________________________<br>
> Pkg-systemd-maintainers mailing list<br>
> <a href="mailto:Pkg-systemd-maintainers@lists.alioth.debian.org">Pkg-systemd-maintainers@lists.alioth.debian.org</a><br>
> <a href="http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/pkg-systemd-maintainers">http://lists.alioth.debian.org/cgi-bin/mailman/listinfo/pkg-systemd-maintainers</a><br></p>