Web-Schutz und iptables
Problem
Der Web-Schutz verwendet nftables, um ausgehende Verbindungen an unseren Scanner umzuleiten, der den HTTP-Datenverkehr scannt.
Bei manchen Kunden ist ein Problem aufgetreten, wenn der Web-Schutz die iptables-NAT-Regeln auf Distributionen mit einem älteren Kernel als 4.18 geändert hat, z. B. CentOS 7. Dieses Problem tritt aufgrund eines Fehlers in älteren Linux-Kernels auf, die keine parallelen NAT-Regeln in iptables und in nftables unterstützen. Weitere Informationen finden Sie unter NAT-Kompatibilitätsprobleme.
|
CentOS 7 wird im Juni 2024 das End-of-Life erreichen. |
|
Die Installation von ESET Server Security for Linux auf veralteten RHEL/CentOS 7-Nebenversionen kann zum vollständigen Verlust der Netzwerkkonnektivität führen. Dadurch ist ein Computerneustart oder das manuelle Entfernen der Regeln in nftables nötig. |
Problemumgehung 1
Verwenden Sie eine Linux-Distribution mit Kernel 4.18 und neuer, z. B. Rocky Linux 8.
Problemumgehung 2
Transformieren Sie iptables-Regeln in nftables. Weitere Informationen finden Sie im Artikel Wechsel von iptables zu nftables. Um sicherzustellen, dass Ihre NAT-Ausgabekette zuerst auf ausgehende Verbindungen angewendet wird, sollten Sie eine Prioritätszahl kleiner oder gleich -102 verwenden, da die NAT-Kette der WAP-Ausgabe die Priorität -101 verwendet.
Wenn keine der Problemumgehungen funktioniert, müssen Sie den Web-Schutz deaktivieren, um iptables NAT unverändert zu lassen (nicht empfohlen).