A primeira pergunta é o que é conntrack . Este é o site para ferramentas conntrack . Com isso em mente, o que o estado faz?
The State Match
The most useful match criterion is supplied by the
state' extension, which interprets the connection-tracking analysis of the
ip_conntrack' module. This is highly recommended.Specifying
-m state' allows an additional
--state' option, which is a comma-separated list of states to match (the '!' flag indicates not to match those states). These states are:NEW A packet which creates a new connection.
ESTABLISHED A packet which belongs to an existing connection (i.e., a reply packet, or outgoing packet on a connection which has seen replies).
RELATED A packet which is related to, but not part of, an existing connection, such as an ICMP error, or (with the FTP module inserted), a packet establishing an ftp data connection.
INVALID A packet which could not be identified for some reason: this includes running out of memory and ICMP errors which don't correspond to any known connection. Generally these packets should be dropped.
An example of this powerful match extension would be:
# iptables -A FORWARD -i ppp0 -m state ! --state NEW -j DROP
Perguntas de firewall sobre estado e política?
Portanto, para responder à pergunta, conntrack é para uso com o kit de ferramentas conntrack e substitui o estado a esse respeito. É melhor do que estado se você estiver planejando usar o kit de ferramentas conntrack.
O rastreamento de conexão está ativado para fluxos de tráfego. Ele tenta constantemente corresponder fluxos a regras.
A resposta que se segue para a pergunta 2 é, sim, use conntrack
Para responder à pergunta 3, qual caso? A resposta para o estado está na definição acima.
A resposta é 4, conntrack é para uso com o kit de ferramentas conntrack e estado, para não usar o kit de ferramentas. Sim, você pode usar o conntrack sem penalidade sobre o uso do estado com o seu exemplo.