ErrorNotes

Cách khắc phục lỗi 'iptables: No chain/target/match by that name' trên Linux

intermediate🐧 Linux2026-06-26| Linux (Ubuntu 22.04+, Debian 11+, CentOS 8+, RHEL 8/9), Docker, WSL2

Error Message

iptables: No chain/target/match by that name
#iptables#firewall#quan-tri-linux#networking#sua-loi

Tại sao lỗi này xảy ra

Bạn chạy một lệnh iptables, mong đợi một thông báo thành công, nhưng thay vào đó, bạn nhận được một lỗi "No chain/target/match by that name" khó hiểu. Thông báo này nổi tiếng là không hữu ích vì nó chỉ ra ba lỗi tiềm ẩn khác nhau. Nó có thể có nghĩa là chain không tồn tại, target (như REJECT) bị thiếu, hoặc một module khớp cụ thể (như conntrack) chưa được nạp vào kernel. Thường xuyên nhất, điều này xảy ra do lỗi đánh máy đơn giản hoặc thiếu module kernel trong môi trường container.

Các nguyên nhân gốc rễ phổ biến

  • Phân biệt chữ hoa chữ thường nghiêm ngặt: iptables coi INPUTinput là hai thứ hoàn toàn khác nhau.
  • Thiếu Module Kernel: Các phần mở rộng như -m multiport hoặc -j REJECT yêu cầu các module xtables cụ thể có thể chưa được kích hoạt.
  • Thiếu Chain tùy chỉnh: Bạn đang cố gắng thêm một quy tắc vào một chain mà bạn chưa tạo.
  • Backend nftables: Các bản phân phối hiện đại sử dụng iptables-nft, công cụ này chuyển đổi các lệnh sang nftables. Lớp chuyển đổi này có thể thất bại nếu hạ tầng nftables bên dưới thiếu các tính năng cần thiết.
  • Môi trường hạn chế: Các container Docker và WSL2 thường thiếu quyền kernel để sửa đổi các ngăn xếp mạng (networking stacks).

Các bước khắc phục chi tiết

1. Kiểm tra lỗi đánh máy và phân biệt chữ hoa chữ thường

Linux rất rạch ròi. Các chain tích hợp sẵn phải được viết bằng CHỮ HOA TOÀN BỘ. Nếu bạn thử dùng chữ thường, hệ thống sẽ tìm kiếm một chain tùy chỉnh không tồn tại.

# Lệnh này sẽ thất bại
sudo iptables -A input -p tcp --dport 80 -j ACCEPT

# Lệnh này hoạt động
sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT

2. Xác minh Chain tồn tại

Trước khi thêm một quy tắc vào một chain tùy chỉnh, bạn phải định nghĩa nó. Chạy sudo iptables -L -n để xem danh sách mọi chain đang hoạt động. Nếu chain tùy chỉnh của bạn (ví dụ: APP_FIREWALL) không có trong danh sách đó, hãy tạo nó bằng cờ -N:

sudo iptables -N APP_FIREWALL

3. Nạp các Module Kernel còn thiếu

Lỗi này thường xuất hiện khi bạn sử dụng các so khớp (matches) nâng cao như --limit hoặc --state. Các tính năng này dựa vào các module kernel. Nếu kernel của bạn chưa nạp chúng, lệnh sẽ thất bại ngay lập tức. Bạn có thể kiểm tra các module đang hoạt động bằng lsmod | grep xt_.

Nếu bạn đang cố gắng sử dụng target REJECT hoặc conntrack, hãy thử nạp các module này một cách thủ công:

sudo modprobe ipt_REJECT
sudo modprobe xt_conntrack
sudo modprobe xt_multiport

Lưu ý: Trên các kernel mới hơn (5.x trở lên), -m state đã bị loại bỏ. Hãy thay thế -m state --state NEW bằng -m conntrack --ctstate NEW để đảm bảo tính tương thích.

4. Quản lý việc chuyển đổi sang nftables

Các phiên bản Ubuntu (22.04+) và Debian (11+) gần đây sử dụng nftables làm backend mặc định. Lệnh iptables thường là một liên kết tượng trưng đến iptables-nft. Nếu script của bạn dựa trên hành vi cũ (legacy), việc chuyển đổi có thể thất bại. Việc chuyển sang binary legacy thường giải quyết được các lỗi "ma" này.

Trên các hệ thống dựa trên Debian, hãy sử dụng công cụ update-alternatives để chuyển đổi:

sudo update-alternatives --set iptables /usr/sbin/iptables-legacy

Sau khi hoán đổi, hãy chạy lại lệnh của bạn. Nếu nó hoạt động, môi trường của bạn đang có khoảng cách về khả năng tương thích với backend nft.

5. Khắc phục cho Docker và WSL2

Bên trong một container Docker, lệnh iptables thường thất bại vì container không có quyền NET_ADMIN. Bạn có thể khắc phục điều này bằng cách thêm --cap-add=NET_ADMIN vào lệnh docker run của mình. Đối với người dùng WSL2, kernel mặc định của Microsoft thường được tinh giản. Bạn có thể cần biên dịch một kernel tùy chỉnh hoặc cập nhật lên phiên bản WSL mới nhất qua wsl --update để có hỗ trợ iptables đầy đủ.

Xác minh kết quả khắc phục

Thành công trong iptables thường diễn ra trong im lặng. Để xác nhận quy tắc của bạn thực sự đã được áp dụng, hãy sử dụng cờ -S (liệt kê quy tắc) và grep cho cổng hoặc target cụ thể của bạn:

sudo iptables -S | grep "80"

Nếu quy tắc xuất hiện trong đầu ra, tường lửa của bạn đã hoạt động và sẵn sàng.

Mẹo chuyên nghiệp để ổn định mạng

Tránh xây dựng các quy tắc phức tạp một cách thủ công. Sử dụng các quy ước đặt tên tiêu chuẩn và cập nhật kernel headers thường xuyên. Khi xử lý các dải IP hoặc khối CIDR phức tạp, độ chính xác là cực kỳ quan trọng. Tôi thường sử dụng Subnet Calculator trên ToolCraft để kiểm tra lại các phép tính mạng của mình trước khi áp dụng các quy tắc. Nó giúp ngăn chặn những lỗi 'invalid argument' khó chịu vốn trông khá giống với lỗi 'No chain'.

Nếu bạn thấy mình liên tục phải vật lộn với iptables, có lẽ đã đến lúc chuyển trực tiếp sang nftables. Nó cung cấp cú pháp sạch sẽ hơn nhiều và báo cáo lỗi tốt hơn đáng kể khi có sự cố xảy ra.

Related Error Notes

Sửa lỗi Linux: -bash: /bin/rm: Argument list too long

-bash: /bin/rm: Argument list too long

Sửa lỗi "Operation not permitted" Khi Root Không Thể Xóa hoặc Sửa File (cờ Immutable của chattr)

rm: cannot remove 'config.conf': Operation not permitted

Cách sửa lỗi 'GLIBC_2.34 Not Found': 4 giải pháp thực tế

/lib/x86_64-linux-gnu/libc.so.6: version 'GLIBC_2.34' not found