Как работают модули iptables?

0

1

Требуется разрешить доступ к сетевому сканеру (к saned).
Суть в том, что sane во время работы может ожидать соединение на любом порту, и открыть один порт 6566, на который клиенты подключаются изначально, недостаточно. Сканер начинает сканировать, потом останавливается, и всё зависает, надо прибивать процесс saned.
В комментариях к конфигу, где можно задать порты, написано

If your firewall is a Linux machine, we strongly recommend using the Netfilter nf_conntrack_sane connection tracking module

Как им пользоваться?
Просто подгружаю модуль modprobe nf_conntrack_sane - не работает.
Добавляю в /etc/modules, чтобы загружался сразу - тоже не работает.
При этом модуль загружается, в обоих случаях, если посмотреть lsmod.

Правила, допустим, такие

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -p tcp -m tcp --dport 6566 -j ACCEPT

Пробовал добавлять

-m state --state RELATED -j ACCEPT

- не помогает.

Ссылка

←	Интеграция Samba с AD

Не стартует апач

→

Может у вас там в логах ядра есть строка:

nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based  firewall rule not found. Use the iptables CT target to attach helpers instead.

mky ★★★★★
(18.09.17 18:50:16 MSK)

4 октября 2018 г.

Ответ на: комментарий от mky 18.09.17 18:50:16 MSK

А что это? У меня сейчас появилось вот это и сеть вроде из-за этого упала на секунд 5

gobot ★★★★
(04.10.18 14:54:29 MSK)

Ответ на: комментарий от gobot 04.10.18 14:54:29 MSK

Это предупреждение, появляющиеся при инициализации conntrack (загрузке NAT-правил), означающие что где-то с ядер 4.7 просто писать правило:

--ctstate RELATED -j ACCEPT

бесполезно. Нужно как-то так:

-ctstate RELATED -m helper --helper ftp

Или включать старое поведение хелперов через параметр модуля.

Не думаю, что это сообщение связано с падением сети. Оно появилось на локальном компе или на маршрутизаторе с NAT'ом?

mky ★★★★★
(04.10.18 18:02:53 MSK)

Ответ на: комментарий от mky 04.10.18 18:02:53 MSK

Разве conntrack обязательно подразумевает NAT? У меня нет нат правил. Появилось на сервере с iptables. Не знаю с чем связано падение сети, но я сразу зашел в syslog и увидел это сообщение. Совпадение? Не думаю

gobot ★★★★
(04.10.18 20:06:25 MSK)

Ответ на: комментарий от gobot 04.10.18 20:06:25 MSK

Нет, не обязательно.

Я точно не знаю в какой момент выводится это сообщение — при загрузке модуля conntrack или при загрузке в iptables первого правила, связанного с conntrack или хелпером. И исходники ядра смотреть лень.

Возможно, у вас был рестарт firewalld и тот выгрузил и снова загрузил модули iptables и nf_conntrack.

mky ★★★★★
(04.10.18 20:49:23 MSK)

Ответ на: комментарий от mky 04.10.18 20:49:23 MSK

Я правила загрузил, а через минут 15-20 сеть резко провалилась(все сессии ssh слетели резко и одновременно), я полез сразу в syslog и там это

gobot ★★★★
(05.10.18 05:06:03 MSK)

Ссылка

Ответ на: комментарий от mky 04.10.18 18:02:53 MSK

Подскажите какой командой можно включить старое поведение хелперов?

anonymous
(09.10.18 20:38:30 MSK)

Ответ на: комментарий от anonymous 09.10.18 20:38:30 MSK

Модулю nf_conntrack передать параметр nf_conntrack_helper=1. Гугл поможет узнать, в какой файл прописывать этот параметр в вашем дистрибутиве.

Или можно записать 1 в файл /proc/sys/net/netfilter/nf_conntrack_helper после того, как модуль загружен. Ну тут опять, зависит от дистрибутива, куда засовывать команду ″echo 1 > /proc/sys/net/netfilter/nf_conntrack″ или ″sysctl -w net.netfilter.nf_conntrack_helper=1″, чтобы она выполнялась при загрузке системы, но после загрузки модуля.

ИМХО, первый вариант с указанием параметра модулю правильнее.

mky ★★★★★
(10.10.18 03:13:03 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Интеграция Samba с AD

Admin

Не стартует апач

→

Похожие темы