странные iptables регистрируют сообщения, после того, как обновлено до сервера пикантные 17.04
Я почти уверен, что у меня не было этих сообщений перед обновлением. Действительно ли кто-либо может направить меня к причине их? Я нашел некоторые ссылки в Google связанными с devs ошибками, но я не уверен, существует ли что-то, о чем я должен волноваться:
kernel: [43101.907635] nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based firewall rule not found. Use the iptables CT target to attach helpers instead.
Этот журнал прибывает из машины брандмауэра, работающей как шлюз к Интернету с iptables фильтрация трафика к/от extenrnal (pppoe) интерфейс для случая, который это имеет что-то, чтобы сделать.
заранее спасибо
1 ответ
Источник сообщений является изменением для ядра 4.7
автоматическое присвоение помощника
С ядром 4.7, и автоматическое присвоение помощника в ядре было выключено по умолчанию. Помощники Netfilter conntrack как, например, nf_conntrack_ftp теперь должны использоваться по-другому. Посмотрите Безопасное использование iptables и помощников отслеживания соединения для получения дополнительной информации.
новый параметр конфигурации AutomaticHelpers был добавлен к firewalld.conf:
AutomaticHelpers Для безопасного использования iptables и помощников отслеживания соединения рекомендуется выключить AutomaticHelpers. Но это могло бы иметь побочные эффекты на других сервисах с помощью netfilter помощников, поскольку sysctl, начинающийся/proc/sys/net/netfilter/nf_conntrack_helper, будет изменен. С параметром настройки системы будет использоваться набор значения по умолчанию в ядре или с sysctl. Возможные значения: да, нет и система. Значение по умолчанию: система AutomaticHelpers=system
firewalld теперь проверяет/proc/sys/net/netfilter/nf_conntrack_helper установку ядра в запуске. С набором AutomaticHelpers к системе это - значение по умолчанию, firewalld будет использовать фактическую установку в ядре. Это могло увядать быть значением по умолчанию в самом ядре или было установлено с помощью sysctl.
, Если автоматическое присвоение помощника выключено, firewalld создаст правила в цепочке PREROUTING необработанной таблицы, чтобы включить помощнику для зоны, где это используется. Для этого это использует настройки помощника, определенные в новых помощниках. Это nf_conntrack_ модуль, который предоставляет помощнику, дополнительное семейство, если помощник мог бы только использоваться для IPv4 или IPv6 и также портов. Помощник только послушает на портах, определенных в конфигурации помощника. Если существует потребность изменить эти порты, то возможно создать адаптированный configruaiton или с GUI или с инструментами командной строки или путем копирования файла в/etc/firewalld/helpers. Если Вы хотите изменить протокол, удостоверьтесь, что помощник может использовать этот протокол. Существует только ограниченное количество помощников, которые являются abel для обработки больше чем одного протокола.
Вот пример помощника ftp, добавленного путем включения сервиса ftp в общедоступной зоне:
# iptables -t raw -S | grep CT -A PRE_public_allow -p tcp -m tcp --dport 21 -j CT --helper ftpА новый бэкенд был добавлен, D-шинный-интерфейс был расширен, также GUI и инструменты командной строки и документация.
Для большего количества информации см. [Решенное] nf_conntrack автоматическое присвоение помощника по умолчанию