Поиск драйверов для нового сканера [закрыто]
Как предложил @meuh в комментарии, я просмотрел документацию, размещенную по адресу https://home.regit.org/netfilter-en/secure-use-of -помощники/.
Параграф «Использование цели CT для улучшения безопасности» объясняет:
Одной из классических проблем с хелперами является тот факт, что хелперы слушают предопределенные порты. Если служба не работает на стандартном порту, необходимо это объявить. До версии 2.6.34 единственным способом сделать это было использование опции модуля. Это привело к систематическому анализу добавленного порта выбранным помощником. Это было явно неоптимально, и цель CT была введена в 2.6.34. Это позволяет указать, какой помощник использовать для конкретного потока. Например, предположим, что у нас есть FTP-сервер с IP-адресом 1.2.3.4, работающий на порту 2121.
Чтобы объявить его, мы можем просто выполнить
iptables -A PREROUTING -t raw -p tcp --dport 2121 \ \ -d 1.2.3.4 -j CT --helper ftp
Это не мой случай (поскольку я использую для него обычный порт 21), но, похоже, он работает, если кто-то хочет включить ftp-помощник для входящих соединений.
iptables -A PREROUTING -t raw -p tcp -m tcp --dport 21 -j CT --helper ftp
Теперь моя (рабочая) конфигурация:
# Generated by iptables-save v1.4.21 on Sat Aug 12 17:39:53 2017
*raw
:PREROUTING ACCEPT [445:37346]
:OUTPUT ACCEPT [375:44051]
-A PREROUTING -p tcp -m tcp --dport 21 -j CT --helper ftp
COMMIT
# Completed on Sat Aug 12 17:39:53 2017
# Generated by iptables-save v1.4.21 on Sat Aug 12 17:39:53 2017
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [169:17775]
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -j DROP
COMMIT
# Completed on Sat Aug 12 17:39:53 2017
Вероятно, стоит отметить, что в документе предлагается с осторожностью относиться к такого рода конфигурациям, поскольку поведение брандмауэра зависит от действий пользователя.
Мне интересно, существует ли риск, связанный с FTP-сервером в открытом Интернете таким образом.Вообще FTP, как известно, не самый лучший протокол с точки зрения безопасности…
В первую очередь следует проверить список поддерживаемых устройств SANE, к которому вы можете получить доступ по адресу http://www.sane-project.org/sane-supported-devices.html, как для последней версии, так и для разработки. (Обратите внимание, что на данный момент поисковая система сканера не работает; вместо этого используйте полные списки ).
Google, вероятно, лучший способ выяснить, предоставляет ли производитель проприетарный драйвер. Также за знакомство с опытом других людей со сканером в Linux.
Если вы готовы платить за не -бесплатное программное обеспечение сканера, вы также можете проверить VueScan, обширный список поддерживаемых устройств .