странные сообщения журнала iptables после обновления до сервера zesty-17.04
Я почти уверен, что у меня не было этих сообщений до обновления. Может ли кто-нибудь направить меня к их причине? Я нашел некоторые ссылки в Google, связанные с ошибками devs, но я не уверен, есть ли что-то, о чем мне нужно беспокоиться:
kernel: [43101.907635] nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based firewall rule not found. Use the iptables CT target to attach helpers instead.
Этот журнал поступает с брандмауэра, работающего как шлюз в Интернет с iptables фильтрует трафик в / из extenrnal (pppoe) интерфейс, в этом случае ему нужно что-то делать.
спасибо заранее
1
задан xulian
18 April 2017 в 14:36
поделиться
4 ответа
Источником сообщений является изменение для ядра 4.7
automatic-helper-присваивание
С ядром 4.7 и вверх назначение автоматического помощника в ядре отключено по умолчанию , Помощники Netfilter conntrack, например, например, nf_conntrack_ftp, теперь должны использоваться по-другому. Дополнительную информацию см. В разделе Безопасное использование iptables и помощников отслеживания подключений. Новый параметр настройки AutomaticHelpers добавлен в firewalld.conf: AutomaticHelpers. Для безопасного использования iptables и помощников отслеживания подключений рекомендуется отключить AutomaticHelpers. Но это может иметь побочные эффекты для других сервисов с помощью помощников netfilter, поскольку параметр sysctl в / proc / sys / net / netfilter / nf_conntrack_helper будет изменен. При настройке системы будет использоваться значение по умолчанию, заданное в ядре или с помощью sysctl. Возможные значения: да, нет и система. По умолчанию: система AutomaticHelpers = система firewalld теперь проверяет установку ядра / proc / sys / net / netfilter / nf_conntrack_helper при запуске. Если система AutomaticHelpers установлена в систему, это значение по умолчанию, firewalld будет использовать фактическую настройку в ядре. Это может зависнуть по умолчанию в самом ядре или было установлено с помощью sysctl. Если автоматическое назначение хелпера отключено, firewalld создаст правила в цепочке PREROUTING необработанной таблицы, чтобы включить помощник для зоны, где она используется. Для этого он использует настройки помощника, определенные в новых помощниках. Это модуль nf_conntrack_, который предоставляет помощника, необязательное семейство, если помощник может использоваться только для IPv4 или IPv6, а также для портов. Помощник будет слушать только порты, определенные в вспомогательной конфигурации. Если необходимо изменить эти порты, тогда можно создать адаптированный configruaiton либо с помощью инструментов графического интерфейса или командной строки, либо путем копирования файла в / etc / firewalld / helpers. Если вы хотите изменить протокол, убедитесь, что помощник может использовать этот протокол. Существует только ограниченное количество помощников, которые используют abel для обработки нескольких протоколов. Ниже приведен пример добавления ftp-помощника, включив службу ftp в публичной зоне:# iptables -t raw -S | grep CT
-A PRE_public_allow -p tcp -m tcp --dport 21 -j CT --helper ftp
Для получения дополнительной информации см. автоматическое хелперное присвоение
1
ответ дан Yaron
22 May 2018 в 23:29
поделиться
-
1Привет, Ярон, спасибо за ваш ответ. Во-первых, я увидел, что теперь каждое состояние «-m state-state» операторы должны быть заменены новой формой «-m conntrack -ctstate». Я просмотрел мои правила iptables и увидел, что на самом деле у меня было несколько из них с этим синтаксисом. В любом случае, также заметили, что теперь «Для каждого помощника вы должны тщательно открыть соответствующий поток. Все утверждения iptables с использованием «-m conntrack -ctstate RELATED» должны использоваться в сочетании с выбором вспомогательного устройства и параметров IP & lt; .. & gt; поэтому необходимо подробно рассмотреть это. – xulian 19 April 2017 в 02:36
-
2спасибо Ярону, я думал, что уже сделал это ... – xulian 19 April 2017 в 14:11
Источником сообщений является изменение для ядра 4.7
automatic-helper-присваивание
С ядром 4.7 и вверх назначение автоматического помощника в ядре отключено по умолчанию , Помощники Netfilter conntrack, например, например, nf_conntrack_ftp, теперь должны использоваться по-другому. Дополнительную информацию см. В разделе Безопасное использование iptables и помощников отслеживания подключений. Новый параметр настройки AutomaticHelpers добавлен в firewalld.conf: AutomaticHelpers. Для безопасного использования iptables и помощников отслеживания подключений рекомендуется отключить AutomaticHelpers. Но это может иметь побочные эффекты для других сервисов с помощью помощников netfilter, поскольку параметр sysctl в / proc / sys / net / netfilter / nf_conntrack_helper будет изменен. При настройке системы будет использоваться значение по умолчанию, заданное в ядре или с помощью sysctl. Возможные значения: да, нет и система. По умолчанию: система AutomaticHelpers = система firewalld теперь проверяет установку ядра / proc / sys / net / netfilter / nf_conntrack_helper при запуске. Если система AutomaticHelpers установлена в систему, это значение по умолчанию, firewalld будет использовать фактическую настройку в ядре. Это может зависнуть по умолчанию в самом ядре или было установлено с помощью sysctl. Если автоматическое назначение хелпера отключено, firewalld создаст правила в цепочке PREROUTING необработанной таблицы, чтобы включить помощник для зоны, где она используется. Для этого он использует настройки помощника, определенные в новых помощниках. Это модуль nf_conntrack_, который предоставляет помощника, необязательное семейство, если помощник может использоваться только для IPv4 или IPv6, а также для портов. Помощник будет слушать только порты, определенные в вспомогательной конфигурации. Если необходимо изменить эти порты, тогда можно создать адаптированный configruaiton либо с помощью инструментов графического интерфейса или командной строки, либо путем копирования файла в / etc / firewalld / helpers. Если вы хотите изменить протокол, убедитесь, что помощник может использовать этот протокол. Существует только ограниченное количество помощников, которые используют abel для обработки нескольких протоколов. Ниже приведен пример добавления ftp-помощника, включив службу ftp в публичной зоне:# iptables -t raw -S | grep CT
-A PRE_public_allow -p tcp -m tcp --dport 21 -j CT --helper ftp
Добавлен новый бэкэнд, расширен интерфейс D-Bus, а также инструменты GUI и командной строки и документация. Для получения дополнительной информации см. автоматическое хелперное присвоение
1
ответ дан Yaron
18 July 2018 в 14:43
поделиться
Источником сообщений является изменение для ядра 4.7
automatic-helper-присваивание
С ядром 4.7 и вверх назначение автоматического помощника в ядре отключено по умолчанию , Помощники Netfilter conntrack, например, например, nf_conntrack_ftp, теперь должны использоваться по-другому. Дополнительную информацию см. В разделе Безопасное использование iptables и помощников отслеживания подключений. Новый параметр настройки AutomaticHelpers добавлен в firewalld.conf: AutomaticHelpers. Для безопасного использования iptables и помощников отслеживания подключений рекомендуется отключить AutomaticHelpers. Но это может иметь побочные эффекты для других сервисов с помощью помощников netfilter, поскольку параметр sysctl в / proc / sys / net / netfilter / nf_conntrack_helper будет изменен. При настройке системы будет использоваться значение по умолчанию, заданное в ядре или с помощью sysctl. Возможные значения: да, нет и система. По умолчанию: система AutomaticHelpers = система firewalld теперь проверяет установку ядра / proc / sys / net / netfilter / nf_conntrack_helper при запуске. Если система AutomaticHelpers установлена в систему, это значение по умолчанию, firewalld будет использовать фактическую настройку в ядре. Это может зависнуть по умолчанию в самом ядре или было установлено с помощью sysctl. Если автоматическое назначение хелпера отключено, firewalld создаст правила в цепочке PREROUTING необработанной таблицы, чтобы включить помощник для зоны, где она используется. Для этого он использует настройки помощника, определенные в новых помощниках. Это модуль nf_conntrack_, который предоставляет помощника, необязательное семейство, если помощник может использоваться только для IPv4 или IPv6, а также для портов. Помощник будет слушать только порты, определенные в вспомогательной конфигурации. Если необходимо изменить эти порты, тогда можно создать адаптированный configruaiton либо с помощью инструментов графического интерфейса или командной строки, либо путем копирования файла в / etc / firewalld / helpers. Если вы хотите изменить протокол, убедитесь, что помощник может использовать этот протокол. Существует только ограниченное количество помощников, которые используют abel для обработки нескольких протоколов. Ниже приведен пример добавления ftp-помощника, включив службу ftp в публичной зоне:# iptables -t raw -S | grep CT
-A PRE_public_allow -p tcp -m tcp --dport 21 -j CT --helper ftp
Добавлен новый бэкэнд, расширен интерфейс D-Bus, а также инструменты GUI и командной строки и документация. Для получения дополнительной информации см. автоматическое хелперное присвоение
2
ответ дан Yaron
24 July 2018 в 20:27
поделиться
Источником сообщений является изменение для ядра 4.7
automatic-helper-присваивание
С ядром 4.7 и вверх назначение автоматического помощника в ядре отключено по умолчанию , Помощники Netfilter conntrack, например, например, nf_conntrack_ftp, теперь должны использоваться по-другому. Дополнительную информацию см. В разделе Безопасное использование iptables и помощников отслеживания подключений. Новый параметр настройки AutomaticHelpers добавлен в firewalld.conf: AutomaticHelpers. Для безопасного использования iptables и помощников отслеживания подключений рекомендуется отключить AutomaticHelpers. Но это может иметь побочные эффекты для других сервисов с помощью помощников netfilter, поскольку параметр sysctl в / proc / sys / net / netfilter / nf_conntrack_helper будет изменен. При настройке системы будет использоваться значение по умолчанию, заданное в ядре или с помощью sysctl. Возможные значения: да, нет и система. По умолчанию: система AutomaticHelpers = система firewalld теперь проверяет установку ядра / proc / sys / net / netfilter / nf_conntrack_helper при запуске. Если система AutomaticHelpers установлена в систему, это значение по умолчанию, firewalld будет использовать фактическую настройку в ядре. Это может зависнуть по умолчанию в самом ядре или было установлено с помощью sysctl. Если автоматическое назначение хелпера отключено, firewalld создаст правила в цепочке PREROUTING необработанной таблицы, чтобы включить помощник для зоны, где она используется. Для этого он использует настройки помощника, определенные в новых помощниках. Это модуль nf_conntrack_, который предоставляет помощника, необязательное семейство, если помощник может использоваться только для IPv4 или IPv6, а также для портов. Помощник будет слушать только порты, определенные в вспомогательной конфигурации. Если необходимо изменить эти порты, тогда можно создать адаптированный configruaiton либо с помощью инструментов графического интерфейса или командной строки, либо путем копирования файла в / etc / firewalld / helpers. Если вы хотите изменить протокол, убедитесь, что помощник может использовать этот протокол. Существует только ограниченное количество помощников, которые используют abel для обработки нескольких протоколов. Ниже приведен пример добавления ftp-помощника, включив службу ftp в публичной зоне:# iptables -t raw -S | grep CT
-A PRE_public_allow -p tcp -m tcp --dport 21 -j CT --helper ftp
Добавлен новый бэкэнд, расширен интерфейс D-Bus, а также инструменты GUI и командной строки и документация. Для получения дополнительной информации см. автоматическое хелперное присвоение
2
ответ дан Yaron
31 July 2018 в 23:30
поделиться