Verwirrung über die Erweiterung "conntrack" von "iptables"

7659
Kal

Die iptables-extensionsManpage sagt folgendes über die conntrackErweiterung (Hervorhebung meines):

In Verbindung mit der Verbindungsverfolgung ermöglicht dieses Modul den Zugriff auf den Verbindungsverfolgungsstatus für dieses Paket / diese Verbindung.

Ich dachte, conntrack ist Verbindungsverfolgung?

Warum sagt die Manpage "kombiniert mit Verbindungsverfolgung"?

Wenn conntracknicht Connection Tracking, was ist es dann?

Was wäre die "andere" Verbindungsverfolgung? Woher würde das kommen?

2

1 Antwort auf die Frage

1
Malvineous

Bei der Verbindungsverfolgung werden bereits Dinge über die verfolgten Verbindungen aufgezeichnet, z. B. ob eine Verbindung mit einer anderen verbunden ist (z. B. eine neue FTP-DATA-Verbindung, die mit einer vorhandenen FTP-Sitzung zusammenhängt, obwohl sie sich an einem anderen Port befindet.)

Die conntrackiptables-Erweiterung bietet zusätzliche Kriterien, die Sie in iptables-Regeln verwenden können, um den verfolgten Status abzugleichen, z. B. durch Zulassen dieser verwandten Verbindungen.

Wenn Sie die conntrackErweiterung nicht verwenden, werden die Verbindungen weiterhin vom Kernel verfolgt (wenn die entsprechenden Kernelmodule geladen sind). Diese Tracking-Informationen werden jedoch nicht verwendet, da sie nicht durch iptables-Regeln geprüft werden.

Grundsätzlich ist das gesamte Connection-Tracking-System in zwei Teile aufgeteilt - das Bit im Kernel, das die eigentliche Tracking-Funktion ausführt, und das Bit in iptables, das die Tracking-Informationen des Kernels überprüft und entscheidet, ob ein bestimmtes Paket durchgelassen werden soll oder nicht.

Dies ist ein bisschen eine Vereinfachung, erklärt es hoffentlich jedoch allgemein.

"geeignete Kernelmodule" wie in `nf_conntrack *`? Kal vor 9 Jahren 0
Ja. Sie benötigen wahrscheinlich nur "nf_conntrack" und "xt_conntrack" plus null oder mehr der "nf_conntrack_ *" - Module, je nachdem, welche Protokolle Sie verfolgen müssen. Malvineous vor 9 Jahren 1