O rastreamento de conexão já está gravando coisas sobre as conexões rastreadas, como se uma conexão estivesse relacionada a outra (como uma nova conexão FTP DATA sendo relacionada a uma sessão FTP existente, mesmo estando em uma porta diferente.)
A extensão conntrack
iptables fornece critérios adicionais que você pode usar nas regras do iptables para corresponder ao estado rastreado, por exemplo, permitindo que essas conexões relacionadas sejam feitas.
Se você não usar a extensão conntrack
, as conexões ainda serão rastreadas pelo kernel (se os módulos do kernel apropriados forem carregados), mas as informações de rastreamento não serão usadas, pois não serão examinadas por nenhuma regra do iptables .
Isto é um pouco de simplificação, mas espero explicá-lo em termos gerais.