Protección de acceso a la web e iptables
Problema
La protección de acceso a la web utiliza nftables para redirigir las conexiones salientes a nuestro análisis, donde analizamos el tráfico HTTP.
Algunos clientes han experimentado problemas cuando WAP interfiere con sus reglas NAT de iptables en distribuciones con kernel anteriores a 4.18, por ejemplo, CentOS 7. Este problema se produce debido a un error en los kernels de Linux anteriores que no admiten reglas NAT concurrentes tanto en iptables como en nftables. Consulte las incompatibilidades de NAT.
|
Centos 7 llegará a su fin de la vida útil en junio de 2024. |
|
La instalación de ESET Server Security for Linux en versiones secundarias obsoletas de RHEL/CentOS 7 puede provocar la pérdida completa de la conectividad de red, lo que requiere reiniciar el equipo o eliminar manualmente las reglas de nftables. |
Solución 1
Utilizar la distribución de Linux con kernel 4.18 y versiones posteriores, por ejemplo, Rocky Linux 8.
Solución 2
Transformar las reglas de iptables en nftables. Consulte el artículo sobre la transformación de iptables en nftables. Para asegurarse de que la cadena de salida NAT se aplica primero a las conexiones salientes, se recomienda utilizar un número de prioridad inferior o igual a "-102", ya que la cadena NAT de salida WAP tiene una prioridad de "-101".
Si ninguna de las soluciones funciona, deberá desactivar la protección de acceso a la web para permitir que NAT de iptables funcione (no se recomienda).