Re: [Sysadmins] p11 и nf_conntrack_helper

Alexei Takaseev Mon, 14 Apr 2025 02:33:56 -0700


14.04.2025 17:12, Sergey пишет:

Приветствую.

А кто знает, куда nf_conntrack_helper пропал?

p10:

# sysctl -a | grep nf_conntrack_helper
#

Но если сделать, например, modprobe nf_conntrack_irc, то будет

# sysctl -a | grep nf_conntrack_helper
net.netfilter.nf_conntrack_helper = 0
#

C p11 такое не выходит:

# modprobe nf_conntrack_irc
# sysctl -a | grep nf_conntrack_helper
#

пока не знаю, надо ли теперь, но раньше я nf_conntrack_helper в 1
выставлял на шлюзе. Отсутствует и с 6.1.112, которое осенью из p11
убрали, и с современным 6.12.21.

Если откатить ядро до 5.10.235-std-def-alt1 из p10,
/proc/sys/net/netfilter/nf_conntrack_helper появляется.
Никто не в курсе, чем грозит и что делать?


А все, выпилили в районе 5.15.

В nftables решается примерно так:

table inet raw {
   ct helper pptp {
       type "pptp" protocol tcp;
   }

   ct helper ftp {
       type "ftp" protocol tcp;
   }

   ct helper sip {
       type "sip" protocol udp;
   }

   chain PREROUTING {
       type filter hook prerouting priority -100;
       tcp dport 1723 ct helper set "pptp"
       tcp dport 21   ct helper set "ftp"
       udp dport 5060 ct helper set "sip"
   }
}

_______________________________________________
Sysadmins mailing list
[email protected]
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] p11 и nf_conntrack_helper

Ответить