Re: nf_conntrack_sane non funziona, dove sbaglio?
On Sun, Oct 22, 2017 at 09:14:49AM +0200, Simone Rossetto wrote:
> Buongiorno a tutti, dall'aggiornamento del mio server a stretch il modulo
> nf_conntrack_sane non funziona più. Il bug #873930 è archiviato a rimanda a
> [1] dove viene descritto come configurare iptables per utilizzare il modulo
> in oggetto che, a quanto ho capito, è disabilitato di default dal kernel
> 4.7, ossia non basta caricare il modulo ma è necessario anche configurare
> il firewall.
>
> La guida [1] usa come esempio la catena FORWARD, immagino quindi che si
> riferisca ad un firewall esterno al server saned. Nel mio caso firewall e
> saned sono sulla stessa macchina, quindi ho usato la catena INPUT. La
> scansione però non funziona! La scansione parte, ma poi il client rimane
> appeso, ossia non riceve i dati dallo scanner e sul server ho pacchetti
> droppati di questo tipo
linux-latest (75) unstable; urgency=medium
* From Linux 4.7, the iptables connection tracking system will no longer
automatically load helper modules. If your firewall configuration
depends on connection tracking helpers, you should explicitly load the
required modules. For more information, see
<https://home.regit.org/netfilter-en/secure-use-of-helpers/>.
-- Ben Hutchings <ben@decadent.org.uk> Sat, 29 Oct 2016 01:53:18 +0100
L'unica novità rilevate è che i moduli nf_conntrack* non vengono
più caricati automaticamente. O li inserisci in /etc/modules o in un
.conf in /etc/modprobe.d/.
> [1] https://home.regit.org/netfilter-en/secure-use-of-helpers/
Saluti
--
Felipe Salvador
Reply to: