Bei der Verbindungsverfolgung werden bereits Dinge über die verfolgten Verbindungen aufgezeichnet, z. B. ob eine Verbindung mit einer anderen verbunden ist (z. B. eine neue FTP-DATA-Verbindung, die mit einer vorhandenen FTP-Sitzung zusammenhängt, obwohl sie sich an einem anderen Port befindet.)
Die conntrack
iptables-Erweiterung bietet zusätzliche Kriterien, die Sie in iptables-Regeln verwenden können, um den verfolgten Status abzugleichen, z. B. durch Zulassen dieser verwandten Verbindungen.
Wenn Sie die conntrack
Erweiterung nicht verwenden, werden die Verbindungen weiterhin vom Kernel verfolgt (wenn die entsprechenden Kernelmodule geladen sind). Diese Tracking-Informationen werden jedoch nicht verwendet, da sie nicht durch iptables-Regeln geprüft werden.
Grundsätzlich ist das gesamte Connection-Tracking-System in zwei Teile aufgeteilt - das Bit im Kernel, das die eigentliche Tracking-Funktion ausführt, und das Bit in iptables, das die Tracking-Informationen des Kernels überprüft und entscheidet, ob ein bestimmtes Paket durchgelassen werden soll oder nicht.
Dies ist ein bisschen eine Vereinfachung, erklärt es hoffentlich jedoch allgemein.