Зіткнувся з таким рядком в лог файлі dmesg: nf_conntrack: automatic helper assignment is deprecated and it will be removed soon. Use the iptables CT target to attach helpers instead.
Переклад: nf_conntrack: автоматичне призначення допоміжних модулів застаріло, та воно буде скоро вилучено. Замість цього, для підключення допоміжних модулів використовуйте ціль CT в iptables.
Цю зміну внесли в травні 2012 року до ядер 3.5, зробивши можливим вимкнення атоматичного підключення nf_conntrack helprs.
З точки зору безпеки, це нововведення підвищіть контроль над роботою системи відстеження з’єднань (а саме, над допоміжними модулями).
Вимкнути автоматичне підключення можна виконвашви команду:
[code]
echo 0 > /proc/sys/net/netfilter/nf_conntrack_helper
[/code]
це встановить значення nf_conntrack_helper в нуль (disabled), майте на увазі, що в майбутньому це значення буде за замовченням вимкнуто.
Щоб дізнатися про поточний стан цього параметра, виконайте команду:
[code]
cat /proc/sys/net/netfilter/nf_conntrack_helper
[/code]
Якщо автоматичне підключення допоміжних модулів (helpers) вимкнути, то система (nf/netfilter) відстеження з’єднань (conntrack), перестане вміти пропускати через себе (forward) такий трафік як, FTP, SIP, GRE, PPTP та інші протоколи, які мають складну схему узгодження зв’язку.
Для того, щоб маршрутизатор на базі Linux міг пропускати наприклад протокол PPTP, необхідно створити правило iptables:
[code]
iptables -t raw -A PREROUTING -p tcp –dport 1723 -j CT –helper pptp
[/code]
Якщо ви побачите ось таке повідомлення:
iptables: No chain/target/match by that name.
це означеє що треба зібрати модуль чи включити до ядра компонент “CT Target support”
