estranhas mensagens de log do iptables depois de atualizadas para o servidor zesty-17.04

Navegue suas respostas
1

Tenho quase certeza de que não recebi essas mensagens antes da atualização. Alguém pode me direcionar para a razão deles? Eu encontrei alguns links no Google relacionados a erros de desenvolvedores, mas não tenho certeza se há algo com que preciso me preocupar: 

kernel: [43101.907635] nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based  firewall rule not found. Use the iptables CT target to attach helpers instead.

Este log vem de uma máquina de firewall rodando como gateway para a internet com o iptables filtrando o tráfego de / para a interface externa (pppoe), para o caso de ter algo a fazer.

obrigado antecipadamente

    
por xulian 18.04.2017 / 13:36

1 resposta

2

A fonte das mensagens é a mudança para o kernel 4.7

atribuição automática de ajuda

  

Com o kernel 4.7 e superior, a atribuição automática de ajuda no kernel   foi desativado por padrão. Netfilter conntrack helpers gostam de   exemplo nf_conntrack_ftp agora precisa ser usado de uma maneira diferente. Vejo   Uso seguro de iptables e ajudantes de rastreamento de conexão para mais   informação.

     

A nova configuração do AutomaticHelpers foi adicionada a   firewalld.conf:

     

AutomaticHelpers   Para o uso seguro de iptables e ajudantes de rastreamento de conexão, é   recomendado para desligar o AutomaticHelpers. Mas isso pode ter efeitos colaterais   outros serviços usando os helpers netfilter como a configuração sysctl em   / proc / sys / net / netfilter / nf_conntrack_helper será alterado.   Com a configuração do sistema, o valor padrão definido no kernel ou com sysctl   será usado. Os valores possíveis são: sim, não e sistema.   Padrão: system AutomaticHelpers = system

     

o firewalld está agora verificando   Configuração do kernel / proc / sys / net / netfilter / nf_conntrack_helper no início.   Com AutomaticHelpers definido para o sistema, este é o padrão, firewalld   usará a configuração real no kernel. Isso poderia ser o   padrão no próprio kernel ou foi definido usando sysctl.

     

Se a atribuição automática de ajuda estiver desativada, o firewalld criará   regras na cadeia PREROUTING da tabela bruta para habilitar o ajudante   para a zona, onde é usado. Para isso, usa as configurações de ajuda   definidos nos novos ajudantes. Estes são o módulo nf_conntrack_ que   fornece ao ajudante, a família opcional, se um ajudante só pode ser   usado para IPv4 ou IPv6 e também as portas. O ajudante só vai ouvir   nas portas definidas na configuração auxiliar. Se houver necessidade   para modificar estas portas, então é possível criar um   configruaiton com as ferramentas GUI ou de linha de comando ou copiando   o arquivo para / etc / firewalld / helpers. Se você quiser mudar o   protocolo, por favor, certifique-se que o ajudante é capaz de usar este   protocolo. Existe apenas uma quantidade limitada de ajudantes que são capazes de   lidar com mais de um protocolo.

     

Aqui está um exemplo do auxiliar de ftp adicionado ao ativar o serviço ftp   na zona pública: 

# iptables -t raw -S | grep CT
-A PRE_public_allow -p tcp -m tcp --dport 21 -j CT --helper ftp
     

Um novo backend foi adicionado, a interface do D-Bus foi estendida,   também as ferramentas GUI e de linha de comando e a documentação.

Para mais informações, consulte [Resolvido] atribuição predefinida do auxiliar automático nf_conntrack

    
por Yaron 18.04.2017 / 13:56
Erro Oracle 12c banco de dados ubuntu 17.04 Como fazer uma cópia do torrent para o local FTP após a conclusão do download