* [Sysadmins] p11 и nf_conntrack_helper
@ 2025-04-14 9:12 Sergey
2025-04-14 9:23 ` Alexei Takaseev
0 siblings, 1 reply; 6+ messages in thread
From: Sergey @ 2025-04-14 9:12 UTC (permalink / raw)
To: sysadmins
Приветствую.
А кто знает, куда nf_conntrack_helper пропал?
p10:
# sysctl -a | grep nf_conntrack_helper
#
Но если сделать, например, modprobe nf_conntrack_irc, то будет
# sysctl -a | grep nf_conntrack_helper
net.netfilter.nf_conntrack_helper = 0
#
C p11 такое не выходит:
# modprobe nf_conntrack_irc
# sysctl -a | grep nf_conntrack_helper
#
пока не знаю, надо ли теперь, но раньше я nf_conntrack_helper в 1
выставлял на шлюзе. Отсутствует и с 6.1.112, которое осенью из p11
убрали, и с современным 6.12.21.
Если откатить ядро до 5.10.235-std-def-alt1 из p10,
/proc/sys/net/netfilter/nf_conntrack_helper появляется.
Никто не в курсе, чем грозит и что делать?
--
С уважением, Сергей.
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] p11 и nf_conntrack_helper
2025-04-14 9:12 [Sysadmins] p11 и nf_conntrack_helper Sergey
@ 2025-04-14 9:23 ` Alexei Takaseev
2025-04-14 13:24 ` Sergey
0 siblings, 1 reply; 6+ messages in thread
From: Alexei Takaseev @ 2025-04-14 9:23 UTC (permalink / raw)
To: sysadmins
14.04.2025 17:12, Sergey пишет:
> Приветствую.
>
> А кто знает, куда nf_conntrack_helper пропал?
>
> p10:
>
> # sysctl -a | grep nf_conntrack_helper
> #
>
> Но если сделать, например, modprobe nf_conntrack_irc, то будет
>
> # sysctl -a | grep nf_conntrack_helper
> net.netfilter.nf_conntrack_helper = 0
> #
>
> C p11 такое не выходит:
>
> # modprobe nf_conntrack_irc
> # sysctl -a | grep nf_conntrack_helper
> #
>
> пока не знаю, надо ли теперь, но раньше я nf_conntrack_helper в 1
> выставлял на шлюзе. Отсутствует и с 6.1.112, которое осенью из p11
> убрали, и с современным 6.12.21.
>
> Если откатить ядро до 5.10.235-std-def-alt1 из p10,
> /proc/sys/net/netfilter/nf_conntrack_helper появляется.
> Никто не в курсе, чем грозит и что делать?
>
А все, выпилили в районе 5.15.
В nftables решается примерно так:
table inet raw {
ct helper pptp {
type "pptp" protocol tcp;
}
ct helper ftp {
type "ftp" protocol tcp;
}
ct helper sip {
type "sip" protocol udp;
}
chain PREROUTING {
type filter hook prerouting priority -100;
tcp dport 1723 ct helper set "pptp"
tcp dport 21 ct helper set "ftp"
udp dport 5060 ct helper set "sip"
}
}
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] p11 и nf_conntrack_helper
2025-04-14 9:23 ` Alexei Takaseev
@ 2025-04-14 13:24 ` Sergey
2025-04-14 13:38 ` Alexei Takaseev
0 siblings, 1 reply; 6+ messages in thread
From: Sergey @ 2025-04-14 13:24 UTC (permalink / raw)
To: sysadmins
On Monday 14 April 2025, Alexei Takaseev wrote:
> > Если откатить ядро до 5.10.235-std-def-alt1 из p10,
> > /proc/sys/net/netfilter/nf_conntrack_helper появляется.
> > Никто не в курсе, чем грозит и что делать?
>
> А все, выпилили в районе 5.15.
https://www.spinics.net/lists/netfilter/msg60942.html
Пишут, что "Since 6.0-rc4" Параноики. Вот чем им оно помешало?
> В nftables решается примерно так:
То есть городить теперь простыню, да ещё как-то всё это
совмещать с iptables... Или оно не пересечётся и хелперы
можно в nftables без оглядки на iptables настроить и потом
внимания не обращать?
--
С уважением, Сергей.
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] p11 и nf_conntrack_helper
2025-04-14 13:24 ` Sergey
@ 2025-04-14 13:38 ` Alexei Takaseev
2025-04-14 16:11 ` Sergey
2025-04-14 16:16 ` Anton Gorlov
0 siblings, 2 replies; 6+ messages in thread
From: Alexei Takaseev @ 2025-04-14 13:38 UTC (permalink / raw)
To: sysadmins
14.04.2025 21:24, Sergey пишет:
> On Monday 14 April 2025, Alexei Takaseev wrote:
>
>>> Если откатить ядро до 5.10.235-std-def-alt1 из p10,
>>> /proc/sys/net/netfilter/nf_conntrack_helper появляется.
>>> Никто не в курсе, чем грозит и что делать?
>> А все, выпилили в районе 5.15.
> https://www.spinics.net/lists/netfilter/msg60942.html
>
> Пишут, что "Since 6.0-rc4" Параноики. Вот чем им оно помешало?
>
>> В nftables решается примерно так:
> То есть городить теперь простыню, да ещё как-то всё это
> совмещать с iptables... Или оно не пересечётся и хелперы
> можно в nftables без оглядки на iptables настроить и потом
> внимания не обращать?
>
Я бы советовал таки переходить на nftables.
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] p11 и nf_conntrack_helper
2025-04-14 13:38 ` Alexei Takaseev
@ 2025-04-14 16:11 ` Sergey
2025-04-14 16:16 ` Anton Gorlov
1 sibling, 0 replies; 6+ messages in thread
From: Sergey @ 2025-04-14 16:11 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
On Monday 14 April 2025, Alexei Takaseev wrote:
> Я бы советовал таки переходить на nftables.
Это достаточно сложно: много правил, много заготовок.
И ipt_netflow всё равно пока не nf_ :-)
--
С уважением, Сергей
a_s_y@sama.ru
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] p11 и nf_conntrack_helper
2025-04-14 13:38 ` Alexei Takaseev
2025-04-14 16:11 ` Sergey
@ 2025-04-14 16:16 ` Anton Gorlov
1 sibling, 0 replies; 6+ messages in thread
From: Anton Gorlov @ 2025-04-14 16:16 UTC (permalink / raw)
To: sysadmins
14.04.2025 16:38, Alexei Takaseev пишет:
>
> Я бы советовал таки переходить на nftables.
Как только туда завезут аля *IPT_netflow*.
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2025-04-14 16:16 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2025-04-14 9:12 [Sysadmins] p11 и nf_conntrack_helper Sergey
2025-04-14 9:23 ` Alexei Takaseev
2025-04-14 13:24 ` Sergey
2025-04-14 13:38 ` Alexei Takaseev
2025-04-14 16:11 ` Sergey
2025-04-14 16:16 ` Anton Gorlov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git