Protection de l'accès web et iptables
Problème
La protection de l'accès web utilise nftables pour rediriger les connexions sortantes vers notre analyseur, où nous analysons le trafic HTTP.
Certains clients ont observé un problème lorsque WAP interfère avec leurs règles NAT iptables sur les distributions avec un noyau antérieur à 4.18, par exemple, CentOS 7. Ce problème se produit en raison d'un bogue dans les noyaux Linux antérieurs qui ne prennent pas en charge les règles NAT simultanées à la fois dans iptables et nftables. Voir les incompatibilités NAT.
|
Centos 7 atteindra sa fin de vie en juin 2024. |
|
L’installation d’ESET Server Security for Linux sous des versions mineures obsolètes de RHEL/CentOS 7 peut entraîner une perte complète de la connectivité réseau, nécessitant un redémarrage de l’ordinateur ou la suppression manuelle des règles nftables. |
Solution 1
Utilisez une distribution Linux avec un noyau 4.18 ou plus récent, par exemple Rocky Linux 8.
Solution 2
Transformez les règles iptables en nftables. Voir l'article sur le passage d'iptables à nftables. Pour que votre chaîne NAT de sortie soit appliquée en premier pour les connexions sortantes, il est recommandé d'utiliser un numéro de priorité inférieur ou égal à « -102 », car la chaîne NAT de sortie du WAP a une priorité de « -101 ».
Si aucune solution n'est possible, vous devez désactiver la protection de l'accès web pour permettre au NAT iptables de fonctionner (ce qui n'est pas recommandé).