[Sysadmins] p11 и nf_conntrack_helper

Пн Апр 14 12:23:07 MSK 2025

14.04.2025 17:12, Sergey пишет:
> Приветствую.
>
> А кто знает, куда nf_conntrack_helper пропал?
>
> p10:
>
> # sysctl -a | grep nf_conntrack_helper
> #
>
> Но если сделать, например, modprobe nf_conntrack_irc, то будет
>
> # sysctl -a | grep nf_conntrack_helper
> net.netfilter.nf_conntrack_helper = 0
> #
>
> C p11 такое не выходит:
>
> # modprobe nf_conntrack_irc
> # sysctl -a | grep nf_conntrack_helper
> #
>
> пока не знаю, надо ли теперь, но раньше я nf_conntrack_helper в 1
> выставлял на шлюзе. Отсутствует и с 6.1.112, которое осенью из p11
> убрали, и с современным 6.12.21.
>
> Если откатить ядро до 5.10.235-std-def-alt1 из p10,
> /proc/sys/net/netfilter/nf_conntrack_helper появляется.
> Никто не в курсе, чем грозит и что делать?
>

А все, выпилили в районе 5.15.

В nftables решается примерно так:

table inet raw {
    ct helper pptp {
        type "pptp" protocol tcp;
    }

    ct helper ftp {
        type "ftp" protocol tcp;
    }

    ct helper sip {
        type "sip" protocol udp;
    }

    chain PREROUTING {
        type filter hook prerouting priority -100;
        tcp dport 1723 ct helper set "pptp"
        tcp dport 21   ct helper set "ftp"
        udp dport 5060 ct helper set "sip"
    }
}