Ochrona dostępu do stron internetowych i iptables
Problem
Ochrona dostępu do stron internetowych wykorzystuje program nftables do przekierowywania połączeń wychodzących do naszego skanera, gdzie skanujemy ruch HTTP.
Niektórzy klienci zaobserwowali problem, gdy WAP zakłócał ich reguły NAT programu iptables w dystrybucjach z jądrem starszym niż 4.18, na przykład CentOS 7. Ten problem występuje z powodu błędu we wcześniejszych jądrach Linux, które nie obsługują współbieżnych reguł NAT zarówno w programie iptables, jak i programie nftables. Zobacz niezgodności NAT.
|
Centos 7 zostanie wycofany z użycia w czerwcu 2024 roku. |
|
Instalacja ESET Server Security for Linux na przestarzałych wersjach pomocniczych RHEL/CentOS 7 może prowadzić do całkowitej utraty łączności sieciowej, wymagając ponownego uruchomienia komputera lub ręcznego usunięcia reguł nftables. |
Obejście 1
Użyj dystrybucji Linux z jądrem 4.18 i nowszymi, na przykład Rocky Linux 8.
Obejście 2
Przekształć reguły iptables w nftables. Zobacz artykuł o przechodzeniu z iptables na nftables. Aby upewnić się, że łańcuch wyjściowy NAT jest stosowany jako pierwszy dla połączeń wychodzących, zaleca się użycie numeru priorytetu równego „-102” lub mniejszego, ponieważ łańcuch wyjściowy NAT WAP ma priorytet „-101”.
Jeśli żadne z obejść nie jest możliwe, musisz wyłączyć ochronę dostępu do stron internetowych, aby umożliwić działanie NAT programu iptables (niezalecane).