Què són els Helpers de conntrack?
Els helpers de conntrack són mòduls del nucli de Linux que faciliten la gestió de connexions que utilitzen ports dinàmics, com FTP, SIP, PPTP, entre d’altres. Aquests mòduls amplien el sistema de seguiment de connexions, conegut com a conntrack, permetent que certs protocols funcionin correctament, fins i tot quan el filtratge de paquets convencional no seria suficient.
El sistema conntrack permet al nucli de Linux fer un seguiment de les connexions actives a la xarxa. Cada cop que un paquet entra o surt del sistema, conntrack intenta associar-lo amb una connexió existent o, en cas contrari, crea un nou registre. Això és fonamental per als firewalls moderns basats en nftables o iptables, ja que els permet prendre decisions sobre si permetre o bloquejar paquets en funció de l'estat de la connexió.
Riscos i desactivació dels Helpers de conntrack
No obstant això, tot i la seva utilitat, els helpers de conntrack poden representar un risc de seguretat. Poden ser explotats per a obrir ports aleatoris sense el coneixement de l’administrador del sistema, permetent trànsit no autoritzat, disfressant connexions malicioses com a legítimes o fins i tot evitant regles del firewall per habilitar connexions entrants que, en condicions normals, serien bloquejades.
A causa d’aquests riscos, les versions recents del nucli de Linux han deshabilitat per defecte la càrrega automàtica dels helpers, i a partir de la sèrie 6.x, aquesta funcionalitat ha estat eliminada completament.
Aquest canvi impacta directament en els servidors, especialment en aquells serveis que depenien d’aquests helpers, ja que poden deixar de funcionar després de l’actualització del nucli. No n’hi ha prou amb simplement obrir els ports manualment al firewall, ja que molts d’aquests protocols requereixen que el programari utilitzi un rang específic de ports. Per continuar utilitzant aquests serveis, serà necessari configurar manualment el rang de ports en el programari corresponent i permetre aquest rang al firewall per garantir una connectivitat adequada.
A continuació, expliquem quins protocols i serveis es veuen afectats per aquest canvi i quins ajustos cal realitzar tant al servidor com al perfil del firewall.
Protocols i serveis afectats per la desactivació
Els següents protocols i serveis depenen dels helpers de conntrack i, en la seva absència, requeriran una configuració manual.
-
FTP (TCP/21): En mode passiu, el servidor assignarà un port aleatori per a la transferència de dades i el client intentarà connectar-se, però sense conntrack, el firewall bloquejarà la connexió si aquests ports no estan permesos.
- Serveis afectats: vsftpd, ProFTPD, Pure-FTPd, FileZilla Server, Microsoft IIS FTP Server, Serv-U FTP Server.
-
TFTP (UDP/69): TFTP utilitza un sol port (69) per a inicialitzar les transferències, però les dades són enviades a través de ports dinàmics triats pel servidor. Sense conntrack, aquestes respostes poden ser bloquejades.
- Serveis afectats: tftpd-hpa, atftpd, dnsmasq (quan s'utilitza com a servidor TFTP), OpenTFTP.
-
SIP (UDP/TCP 5060/5061): SIP gestiona la senyalització de trucades, però els fluxos d’àudio i vídeo (RTP) es negocien en ports dinàmics. Sense conntrack, aquests paquets poden ser bloquejats, causant trucades sense àudio o fallades en la connexió.
- Serveis afectats: Asterisk, FreePBX, Kamailio, OpenSIPS, Cisco CallManager, 3CX, Linphone, Ekiga, Zoiper, Grandstream PBX.
-
H.323 (TCP/1720 i dinàmics): Similar a SIP, aquest protocol de videoconferència utilitza el port 1720 per a la senyalització, però requereix ports dinàmics per al tràfic de mitjans (àudio/vídeo). Sense conntrack, aquests poden ser bloquejats.
- Serveis afectats: Polycom, Cisco Unified Communications, Avaya, Ekiga, Linphone, Microsoft Skype for Business, Google Meet (quan utilitza passarel·les H.323).
-
PPTP (TCP/1723 i GRE protocol 47): PPTP utilitza TCP/1723 per a l’autenticació i control de la connexió, però el tràfic de dades es transporta mitjançant GRE (protocol 47). Sense conntrack, els paquets GRE poden ser bloquejats, impedint la connexió VPN.
- Serveis afectats: Microsoft Windows VPN Server, MikroTik PPTP Server, SoftEther VPN, Cisco PPTP, OpenVPN (quan s'utilitza en mode PPTP).
-
IRC - DCC (UDP/1024-65535): Les connexions Direct Client-to-Client (DCC) a IRC permeten transferències d'arxius i connexions directes entre usuaris. Sense conntrack, els ports aleatoris utilitzats en aquestes connexions poden ser bloquejats.
- Serveis afectats: UnrealIRCd, InspIRCd, ircd-hybrid, WeeChat, HexChat, mIRC, Kiwi IRC.
Configuració manual
A continuació, es presenten els ports essencials que cal obrir manualment en el perfil del firewall per garantir el funcionament de cada servei:
FTP (Mode Passiu)
Perquè el FTP passiu funcioni correctament, cal habilitar els següents ports:
| PROTOCOL | RANG DE PORTS | DESCRIPCIÓ |
|---|---|---|
| TCP | 21 | Per al control de connexió |
| TCP | 50000-51000 | Per a la transferència de dades passiva |
A continuació us deixem els següents articles que expliquen com habilitar els ports dinàmics de FTP en les diferents imatges de Clouding:
| IMATGE CLOUDING | ARTICLE KB |
|---|---|
| Plesk Obsidian 18 | Habilitar ports passius a FTP a la imatge Plesk Obsidian 18 |
| HestiaCP | Habilitar ports passius a FTP a la imatge HestiaCP |
| CyberPanel | Habilitar ports passius a FTP a la imatge CyberPanel |
| CloudPanel | Habilitar ports passius en FTP a la imatge de CloudPanel |
| cPanel | Habilitar ports passius en FTP en la imatge cPanel |
| ipsmanager | Habilita els ports passius en FTP a la imatge ISPmanager |
| WordPress | Habilitar ports passius en FTP en la imatge Wordpress |
| Prestashop | Habilitar ports passius en FTP en la imatge Prestashop |
| Magento | Habilitar ports passius en FTP en la imatge Magento |
| vsFTPd | Configurar FTP passiu vsFTPd a GNU/Linux |
| ProFTPd | Habilitar els ports passius en FTP en ProFTPd |
| FileZilla Server | Habilitar ports passius en FTP en FileZilla Server |
| Microsoft IIS FTP Server | Habilitar ports passius en FTP en Microsoft IIS FTP Server |
SIP (PBX Intern - RTP)
Per a les trucades VoIP mitjançant SIP, cal obrir els següents ports:
| PROTOCOL | RANG DE PORTS | DESCRIPCIÓ |
|---|---|---|
| UDP | 5060 | Per a la senyalització SIP |
| UDP | 10000-20000 | Per a la transmissió d’àudio i vídeo RTP |
A continuació us deixem els següents articles que expliquen com habilitar els ports dinàmics de SIP en les diferents imatges de Clouding:
| IMATGE CLOUDING | ARTICLE KB |
|---|---|
| Asterisk | Habilitar ports passius a Asterisk |
| FreePBX | Habilitar ports passius per a RTP en FreePBX |
PPTP VPN (Servidor)
Per permetre connexions PPTP, cal habilitar els següents ports i protocols:
| PROTOCOL | RANG DE PORTS | DESCRIPCIÓ |
|---|---|---|
| TCP | 1723 | Per al canal de control de la VPN |
| GRE | Protocol 47 | Per a la transmissió de dades de la VPN |
És necessari habilitar GRE en el perfil del firewall del servidor.
IRC (DCC)
Per a connexions de videoconferència tipus H.3323, cal permetre els següents ports:
| PROTOCOL | RANG DE PORTS | DESCRIPCIÓ |
|---|---|---|
| TCP | 1720 | Senyalització H.323 |
| UDP | 5000-5500 | Per a la transmissió de dades d’àudio i vídeo |
A continuació us deixem els següents articles que expliquen com habilitar els ports dinàmics de H.323 en les diferents imatges de Clouding:
SIP (PBX Intern - RTP)
Per a les trucades VoIP mitjançant SIP, cal obrir els següents ports:
| PROTOCOL | RANG DE PORTS | DESCRIPCIÓ |
|---|---|---|
| UDP | 5060 | Per a la senyalització SIP |
| UDP | 10000-20000 | Per a la transmissió d’àudio i vídeo RTP |
A continuació us deixem els següents articles que expliquen com habilitar els ports dinàmics de SIP en les diferents imatges de Clouding:
| IMATGE CLOUDING | ARTICLE KB |
|---|---|
| WeeChat | |
| mIRC | Habilitar ports passius en mIRC |
Alternatives i bones pràctiques
Per garantir el funcionament de certs protocols sense dependre dels helpers de conntrack, és necessari configurar manualment els rangs de ports i realitzar ajustaments als firewalls. En el cas de FTP, s'aconsella l'ús del mode passiu amb un rang de ports fixos, encara que alternatives com SFTP o WebDAV sobre HTTPS ofereixen una major seguretat i facilitat de gestió. TFTP, en utilitzar ports dinàmics, requereix una configuració similar, però és preferible optar per mètodes més segurs com SFTP o HTTPS.
Els protocols de comunicació en temps real, com SIP i H.323, necessiten la definició de ports fixos per a la transmissió de mitjans i l'ús de servidors STUN/TURN per evitar bloquejos en xarxes amb NAT. Tot i aquestes configuracions, solucions com WebRTC resulten més pràctiques i eliminen la necessitat de configuracions complexes. En el cas de PPTP, és fonamental permetre el trànsit GRE al firewall, encara que aquest protocol ha quedat obsolet i es recomana substituir-lo per opcions més segures com WireGuard o OpenVPN.
Per a les connexions DCC en IRC, és necessari establir un rang de ports fixos i obrir-los al firewall, a més d’utilitzar bouncers com ZNC per facilitar la connexió. Alternatives com XMPP amb Jingle File Transfer o Matrix amb pont a IRC poden substituir el DCC sense les complicacions derivades dels ports dinàmics.
En general, la millor estratègia per operar sense els helpers de conntrack és establir configuracions de xarxa més predecibles i, sempre que sigui possible, optar per tecnologies modernes que redueixin la dependència de configuracions manuals als firewalls.
Conclusió
La desactivació dels helpers de conntrack millora la seguretat en evitar el processament innecessari de paquets i reduir el risc d'atacs. Tot i això, això requereix ajustaments manuals per garantir el funcionament de certs serveis.
Seguint les configuracions recomanades a la nostra interfície web, és possible mantenir un firewall més segur sense comprometre la compatibilitat amb serveis essencials.
Esperem que aquest article t'hagi estat útil. Si tens algun dubte sobre aquest o qualsevol altre tema relacionat amb els teus servidors a Clouding, no dubtis a escriure'ns a soporte@clouding.io. Som aquí per ajudar-te! 😉