Confusão sobre a extensão 'conntrack' do 'iptables'

Navegue suas respostas
2

O iptables-extensions manpage tem a dizer sobre o conntrack extension (ênfase minha):

This module, when combined with connection tracking, allows access to the connection tracking state for this packet/connection.

Eu achei que conntrack é acompanhamento de conexão?

Por que o manpage diz "combinado com rastreamento de conexão"?

Se conntrack não é rastreamento de conexão, o que é isso?

Qual seria o acompanhamento da conexão "outros"? De onde isso viria?

    
por Kal 26.04.2015 / 06:25

1 resposta

1

O rastreamento de conexão já está gravando coisas sobre as conexões rastreadas, como se uma conexão estivesse relacionada a outra (como uma nova conexão FTP DATA sendo relacionada a uma sessão FTP existente, mesmo estando em uma porta diferente.)

A extensão conntrack iptables fornece critérios adicionais que você pode usar nas regras do iptables para corresponder ao estado rastreado, por exemplo, permitindo que essas conexões relacionadas sejam feitas.

Se você não usar a extensão conntrack , as conexões ainda serão rastreadas pelo kernel (se os módulos do kernel apropriados forem carregados), mas as informações de rastreamento não serão usadas, pois não serão examinadas por nenhuma regra do iptables .

Basicamente, todo o sistema de rastreamento de conexão é dividido em dois - o bit no kernel que faz o rastreamento real e o bit no iptables que examina as informações de rastreamento do kernel e decide se permite ou não um dado pacote.

Isto é um pouco de simplificação, mas espero explicá-lo em termos gerais.

    
por 26.04.2015 / 06:46

Tags

Outlook 2010 ausente das opções de indexação Múltiplos arquivos de entrada e saída no awk