"nf_conntrack" Module für pfSense?



  • Hallo zusammen,

    gibt es für die pfSense solche Module wie "nf_conntrack" die bei SIP oder FTP die Verbindung tracken, dass man nicht 10.000 Ports freigeben muss? Bei z.B Debian gibt es dafür folgende Module:

    /lib/modules/4.15.0-51-generic/kernel/net/ipv6/netfilter/nf_conntrack_ipv6.ko
    /lib/modules/4.15.0-51-generic/kernel/net/ipv4/netfilter/nf_conntrack_ipv4.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_netlink.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_irc.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_proto_gre.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_h323.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_tftp.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_sane.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_snmp.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_netbios_ns.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_pptp.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_ftp.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_sip.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_amanda.ko
    /lib/modules/4.15.0-51-generic/kernel/net/netfilter/nf_conntrack_broadcast.ko
    

    Bei FTP, ich glaube in der passiven Verbindung gibt es da bezüglich NAT auch immer Schwierigkeiten, das das FTP Plugin für pfSense auch nicht alles abdeckt...Auch bei SIP-DirectMedia ist es nur möglich, wenn man eine sehr große Port-Range auf macht, das lässt sich mit solchen Modulen eigentlich verhindern...

    Eventuell hat da ja jemand was ;)

    Grüße


  • Rebel Alliance Moderator

    Dir ist schon klar, dass pfSense kein Linux ist, es ergo kein Netfilter (sondern PF) und daher kaum ein nf_conntrack gibt?

    Bei FTP, ich glaube in der passiven Verbindung gibt es da bezüglich NAT auch immer Schwierigkeiten, das das FTP Plugin für pfSense auch nicht alles abdeckt

    Du hast gelesen, dass das FTP Modul für pfSense (das neue) für aktives FTP ist und als Mini-Proxy einspringt, damit man eingehend Port 20 nicht von der ganzen Welt öffnen muss? Und du hast gelesen, wie es konfiguriert sein muss, damit es sauber funktioniert?

    Auch bei SIP-DirectMedia ist es nur möglich, wenn man eine sehr große Port-Range auf macht, das lässt sich mit solchen Modulen eigentlich verhindern...

    Lässt es sich auch indem man seinen Provider nach Details fragt und nur von deren IP Range die Ports öffnet. Wobei SIP ein schlechtes Beispiel ist weil hier wieder jeder seine eigene Suppe kocht.

    Ergo: nein, es gibt kein nf_conntrack. Was es ansonsten für SIP oder FTP (warum will das noch jemand benutzen?) für Ansätze gibt, hängt auch von der Problemstellung ab. Ich frage mich aber, was conntrack bringen soll, wenn ich mir da gerade SIP in den USA anschaue. Gerade eine Umstellung dort gemacht und SIP Provider gibt IPs 1,2,3 an als Gegenstelle für SIP Ports. Freigegeben, klingelt. Kein Gespräch gehört. Im Log geschaut: angekündigte RTP Ports udp10000-20000 kommen an, aber von einer wildfremden IP die keiner irgendwo zuordnen kann. Auch nicht im SIP Provider Dokument. Nachgehakt: joa könnte unseres sein, vllt. über nen CDN oder so... Im SIP Outbound Paket stand auch diese IP nirgends drin.

    Wie willst du also so eine Verbindung "tracken" und automatisch irgendwas öffnen? Einfach auf Verdacht ankommenden UDP Highport Traffic einfach reinlassen? Solang Provider so nen Quatsch machen und nicht dokumentieren, wird das leider immer abenteuerlich bleiben ;)


Log in to reply