des messages étranges du journal iptables après la mise à niveau vers le serveur zesty-17.04
Je suis presque sûr que je n'avais pas ces messages avant la mise à niveau. Quelqu'un peut-il m'indiquer la raison? J'ai trouvé sur Google des liens liés aux bugs de devs, mais je ne suis pas sûr de devoir m'inquiéter de quelque chose:
kernel: [43101.907635] nf_conntrack: default automatic helper assignment has been turned off for security reasons and CT-based firewall rule not found. Use the iptables CT target to attach helpers instead.
Ce journal provient d'une machine de pare-feu fonctionnant comme une passerelle vers Internet avec iptables filtrant le trafic vers/depuis une interface externe (pppoe), dans le cas où il aurait quelque chose à faire.
merci d'avance
La source des messages est le changement pour le noyau 4.7
assignation d'assistance automatique
À partir de la version 4.7, l’affectation des aides automatiques dans le noyau a été désactivée par défaut. Les assistants Netfilter conntrack, comme par exemple nf_conntrack_ftp, doivent maintenant être utilisés de manière différente. Reportez-vous à la section Utilisation sécurisée d'iptables et d'aide au suivi des connexions pour plus d'informations.
Le nouveau paramètre de configuration AutomaticHelpers a été ajouté à firewalld.conf:
AutomaticHelpers Pour une utilisation sécurisée des iptables et des assistants de suivi de connexion, il est recommandé de désactiver AutomaticHelpers. Mais cela pourrait avoir des effets secondaires sur les autres services utilisant les aides de netfilter, car le paramètre sysctl de/proc/sys/net/netfilter/nf_conntrack_helper sera modifié. Avec le paramètre système, la valeur par défaut définie dans le noyau ou avec sysctl sera utilisée. Les valeurs possibles sont: yes, no et system. Par défaut: system AutomaticHelpers = system
firewalld vérifie maintenant le paramètre de noyau/proc/sys/net/netfilter/nf_conntrack_helper au début. Si AutomaticHelpers est défini sur système, il s'agit de la valeur par défaut. Firewalld utilisera le paramètre actuel dans le noyau. Cela pourrait être la valeur par défaut dans le noyau lui-même ou a été définie avec sysctl.
Si l'assignation automatique des assistants est désactivée, firewalld créera des règles dans la chaîne PREROUTING de la table brute pour activer l'assistant pour la zone où il est utilisé. Pour cela, il utilise les paramètres d'assistance définis dans les nouvelles aides. Ce sont le module nf_conntrack_ qui fournit l’assistant, la famille facultative si un assistant ne peut être utilisé que pour IPv4 ou IPv6, ainsi que pour les ports. L'assistant n'écoutera que les ports définis dans la configuration de l'assistant. S'il est nécessaire de modifier ces ports, il est alors possible de créer une configuration adaptée à l'aide de l'interface graphique ou des outils de ligne de commande, ou en copiant le fichier dans/etc/firewalld/helpers. Si vous souhaitez modifier le protocole, assurez-vous que l’assistant est capable d’utiliser ce protocole. Il n'y a qu'un nombre limité d'auxiliaires qui sont capables de gérer plus d'un protocole.
Voici un exemple d'aide ftp ajouté en activant le service ftp dans la zone publique:
# iptables -t raw -S | grep CT -A PRE_public_allow -p tcp -m tcp --dport 21 -j CT --helper ftpUn nouveau backend a été ajouté, l'interface D-Bus a été étendue, ainsi que l'interface graphique, les outils de ligne de commande et la documentation.
Pour plus d'informations, voir [Résolu] nf_conntrack assignation d'assistant automatique par défaut