Перейти к содержанию
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

Запрос на включение CONFIG_NF_CT_NETLINK в ядро прошивки

sokrat_s

Ответ от sokrat_s,

 Поделиться

Вопрос

sokrat_s Новичок

sokrat_s

Опубликовано
Опубликовано (изменено)

Здравствуйте!

Прошу рассмотреть возможность включения в ядро будущих версий прошивки модуля nf_conntrack_netlink (опция конфигурации ядра CONFIG_NF_CT_NETLINK, как модуль =m или встроенно =y).

Модель: Keenetic Giga (KN-1011) Версия прошивки: 5.1 Beta 4

Суть проблемы. В текущей прошивке отслеживание соединений (conntrack) в ядре работает — счётчик /proc/sys/net/netfilter/nf_conntrack_count показывает активные соединения (в моём случае ~473). Однако netlink-интерфейс к таблице conntrack отсутствует: модуль nf_conntrack_netlink не загружен и не найден в /lib/modules, а утилита conntrack -L возвращает пустой результат при ненулевом счётчике соединений.

Что уже проверено:

  • lsmod показывает nfnetlink_log и nfnetlink_queue, но nf_conntrack_netlink отсутствует;
  • find /lib/modules -iname "*conntrack_netlink*" — пусто (модуля нет на диске);
  • в репозиториях Entware/opkg отдельного kmod-пакета для него также нет, так как это компонент ядра.

Почему это важно. Без netlink-доступа к conntrack корректно не работает ряд полезных userspace-инструментов, которым нужно читать или изменять состояние соединений через библиотеку libnetfilter_conntrack — в частности утилита conntrack-tools и приложения, использующие NFQUEUE с привязкой к состоянию соединения. Из-за отсутствия модуля такие инструменты считают, что conntrack недоступен, хотя в ядре он функционирует.

Включение CONFIG_NF_CT_NETLINK (зависит от CONFIG_NETFILTER_NETLINK, который у вас уже присутствует, судя по наличию nfnetlink_queue) расширит возможности netfilter без какого-либо влияния на штатную работу роутера и логику маршрутизации.

Заранее благодарю за рассмотрение.

Изменено пользователем sokrat_s

3 ответа на этот вопрос

Рекомендуемые сообщения

  • 0
FLK NetFriend

FLK

Опубликовано
Опубликовано

Чем это поможет обычному среднестатическому пользователю, не знающему всей этой тарабарщины?

Мне интересно просто практическое применение, а не вот эти заморские словечки) 

  • 0
sokrat_s Новичок

sokrat_s

Опубликовано
  • Автор
Опубликовано
8 минут назад, FLK сказал:

Чем это поможет обычному среднестатическому пользователю

Уважаемый FLK, вы бы облегчили жизнь тысячам пользователей сообщества nfqws...Без этого модуля не работают стратегии и подобрать их не возможно к сожалению. Поддержим рублем покупкой новой модели 🤗

  • 0
Denis P Старожил

Denis P

Опубликовано
Опубликовано
5 часов назад, sokrat_s сказал:

Здравствуйте!

Прошу рассмотреть возможность включения в ядро будущих версий прошивки модуля nf_conntrack_netlink (опция конфигурации ядра CONFIG_NF_CT_NETLINK, как модуль =m или встроенно =y).

Модель: Keenetic Giga (KN-1011) Версия прошивки: 5.1 Beta 4

Суть проблемы. В текущей прошивке отслеживание соединений (conntrack) в ядре работает — счётчик /proc/sys/net/netfilter/nf_conntrack_count показывает активные соединения (в моём случае ~473). Однако netlink-интерфейс к таблице conntrack отсутствует: модуль nf_conntrack_netlink не загружен и не найден в /lib/modules, а утилита conntrack -L возвращает пустой результат при ненулевом счётчике соединений.

Что уже проверено:

  • lsmod показывает nfnetlink_log и nfnetlink_queue, но nf_conntrack_netlink отсутствует;
  • find /lib/modules -iname "*conntrack_netlink*" — пусто (модуля нет на диске);
  • в репозиториях Entware/opkg отдельного kmod-пакета для него также нет, так как это компонент ядра.

Почему это важно. Без netlink-доступа к conntrack корректно не работает ряд полезных userspace-инструментов, которым нужно читать или изменять состояние соединений через библиотеку libnetfilter_conntrack — в частности утилита conntrack-tools и приложения, использующие NFQUEUE с привязкой к состоянию соединения. Из-за отсутствия модуля такие инструменты считают, что conntrack недоступен, хотя в ядре он функционирует.

Включение CONFIG_NF_CT_NETLINK (зависит от CONFIG_NETFILTER_NETLINK, который у вас уже присутствует, судя по наличию nfnetlink_queue) расширит возможности netfilter без какого-либо влияния на штатную работу роутера и логику маршрутизации.

Заранее благодарю за рассмотрение.

учитывая это

https://github.com/keenetic/keenetic-sdk/blob/5ff3bfda8b7f38004f9fd6d4effc6bdaedf01e05/package/kernel/modules/netfilter.mk#L802

и то что conntrack -L выводит список
image.png.b3e4f115afb1320717887a80c4e4e318.png

вы делаете что-то не так

  • Лайк 1

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю