Здравствуйте!
Прошу рассмотреть возможность включения в ядро будущих версий прошивки модуля nf_conntrack_netlink (опция конфигурации ядра CONFIG_NF_CT_NETLINK, как модуль =m или встроенно =y).
Модель: Keenetic Giga (KN-1011) Версия прошивки: 5.1 Beta 4
Суть проблемы. В текущей прошивке отслеживание соединений (conntrack) в ядре работает — счётчик /proc/sys/net/netfilter/nf_conntrack_count показывает активные соединения (в моём случае ~473). Однако netlink-интерфейс к таблице conntrack отсутствует: модуль nf_conntrack_netlink не загружен и не найден в /lib/modules, а утилита conntrack -L возвращает пустой результат при ненулевом счётчике соединений.
Что уже проверено:
lsmod показывает nfnetlink_log и nfnetlink_queue, но nf_conntrack_netlink отсутствует;
find /lib/modules -iname "*conntrack_netlink*" — пусто (модуля нет на диске);
в репозиториях Entware/opkg отдельного kmod-пакета для него также нет, так как это компонент ядра.
Почему это важно. Без netlink-доступа к conntrack корректно не работает ряд полезных userspace-инструментов, которым нужно читать или изменять состояние соединений через библиотеку libnetfilter_conntrack — в частности утилита conntrack-tools и приложения, использующие NFQUEUE с привязкой к состоянию соединения. Из-за отсутствия модуля такие инструменты считают, что conntrack недоступен, хотя в ядре он функционирует.
Включение CONFIG_NF_CT_NETLINK (зависит от CONFIG_NETFILTER_NETLINK, который у вас уже присутствует, судя по наличию nfnetlink_queue) расширит возможности netfilter без какого-либо влияния на штатную работу роутера и логику маршрутизации.
Заранее благодарю за рассмотрение.
