Buongiorno a tutti, dall'aggiornamento del mio server a stretch il modulo nf_conntrack_sane non funziona più. Il bug #873930 è archiviato a rimanda a [1] dove viene descritto come configurare iptables per utilizzare il modulo in oggetto che, a quanto ho capito, è disabilitato di default dal kernel 4.7, ossia non basta caricare il modulo ma è necessario anche configurare il firewall.
La guida [1] usa come esempio la catena FORWARD, immagino quindi che si riferisca ad un firewall esterno al server saned. Nel mio caso firewall e saned sono sulla stessa macchina, quindi ho usato la catena INPUT. La scansione però non funziona! La scansione parte, ma poi il client rimane appeso, ossia non riceve i dati dallo scanner e sul server ho pacchetti droppati di questo tipo
> IN=eth0 OUT= MAC=20:cf:30:c6:8c:58:74:29:af:49:db:71:08:00 SRC=""> > DST=192.168.0.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=6259 DF PROTO=TCP
> SPT=57610 DPT=50445 WINDOW=29200 RES=0x00 SYN URGP=0
ovviamente con SPT e DPT sempre diverse.
La mia configurazione di iptables (un estratto) è la seguente
> -A INPUT -i lo -m comment --comment loopback -j ACCEPT
> -A INPUT -m state --state INVALID -m comment --comment "pacchetti non validi" -j DROP
> -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
> -A INPUT -p udp -m udp --sport 68 --dport 67 -m comment --comment "DHCP requests" -j ACCEPT
> -A INPUT -s
192.168.0.0/24 -m comment --comment "pacchetti provenienti dalla LAN di casa" -j HOME
> -A INPUT -d
192.168.0.1/32 -m comment --comment "servizi offerti dal server" -j SERVICES
> -A INPUT -m limit --limit 15/min -j LOG --log-prefix "Dropped INPUT: " --log-level 7
>
> -A HOME [...]
> -A HOME -d
192.168.0.1/32 -p tcp -m tcp --dport 6566 -m comment --comment "SANE Scanner Server" -j ACCEPT
> -A HOME -d
192.168.0.1/32 -p tcp -m conntrack --ctstate RELATED -m helper --helper sane -m tcp --dport 1024:65535 -m comment --comment "SANE Tracking Helper" -j ACCEPT
> -A HOME [...]
ho provato anche a spostare le due regole di sane direttamente nella catena INPUT, ma non cambia nulla, i pacchetti sono sempre loggati come "Dropped INPUT", quindi vuol dire che arrivano alla fine della catena INPUT senza aver trovato alcuna regola valida.