conntrack-gereedskap bied 'n versameling van vrye sagteware userspace gereedskap vir Linux wat toelaat dat die stelsel administrateurs om interaksie met die Connection Tredhousisteem, wat is die module wat bied Stateful pakkie inspeksie vir iptables. Die conntrack-gereedskap is die userspace daemon conntrackd en die command line interface conntrack.
Hoekom die conntrack-gereedskap gebruik?
Die userspace daemon conntrackd kan gebruik word om hoë beskikbaarheid cluster gebaseerde Stateful firewalls in staat te stel en in te samel statistieke van die Stateful firewall gebruik. Die command line interface conntrack bied 'n meer buigsame koppelvlak tot die connnection dop-stelsel as / proc / net / ip_conntrack.
Wat kan doen om die conntrack-gereedskap vir my?
Baie van die koel dinge. conntrackd dek die spesifieke aspekte van Stateful Linux firewalls hoë beskikbaarheid oplossings in staat te stel en dit kan gebruik word as statistieke versamelaar van die firewall gebruik sowel. Die command line interface conntrack bied 'n koppelvlak om by te voeg, te verwyder en update vloei inskrywings, lys huidige aktiewe vloei in plain text / XML, huidige IPv4 NAT'ed vloei, herstel tellers atomies, spoel die verband dop tafel en monitor verband dop gebeure onder baie ander.
So, beteken conntrackd bied 'n ekwivalent van OpenBSD se pfsync?
Ja. conntrackd synchroniseert die state onder verskeie replika firewalls, sodat jy kan sit fail setups met Stateful Linux firewalls. Sien die ondersteuning afdeling vir meer inligting. Maar conntrackd kan ook gebruik word statistieke van die Stateful firewall gebruik te samel.
Hoekom gebruik die command line instrument conntrack plaas van / proc / net / ip_conntrack?
Daar is verskeie goeie redes om dit te doen. Die / proc koppelvlak bied 'n baie beperkte koppelvlak tot die Connection Tredhousisteem aangesien dit net kan jy die huidige aktiewe netwerk vloei te stort. In plaas daarvan, conntrack kan jy netwerk vloei te werk sonder die toevoeging van 'n nuwe iptables reël, bv werk die conntrack merk of stort die verband dop tafel in XML-formaat. Verder, met behulp van die / processed koppelvlak die verband dop tafel te stort onder baie besig firewalls, dws diegene met ton van die verband state, benadeel prestasie. Spesifiek, dit word 'n probleem as jy skeer van die / processed koppelvlak firewall statistieke te kry. Ook, conntrack bied verband gebeure monitering wat 'n funksie wat die / processed koppelvlak verskaf nie.
Kan ek gebruik conntrack gestig TCP verbindings te sny?
Ja. Jy kan conntrack gebruik 'n gevestigde TCP-verbinding sonder toevoeging van 'n iptables reël om dood te maak. Natuurlik, jy benodig 'n normale Stateful ruleset wat 'n pakkie wat nie ooreenstem met enige bestaande inskrywing in die Connection dop Table blokkeer. Basies, die idee bestaan van die verwydering van die inskrywing wat praat oor die slagoffer TCP-verbinding. So, die kliënt ervaar 'n verband te hang. Verder, aangesien conntrack is nie afhanklik van die laag 4 protokol, kan jy gebruik om dood te maak wat laag 4 netwerk vloei (UDP, SCTP, ...).
Wat is nuut in hierdie weergawe:
- Hierdie weergawe voeg ondersteuning te stort die & quot; sterf & quot; en & quot; onbevestigde & quot; lys via ctnetlink.
- 'n dooiepunt weens verkeerde geneste sein sluit opgelos is.
Wat is nuut in die weergawe 1.4.0:
- Hierdie weergawe voeg die gebruiker-ruimte helper infrastruktuur, Dit sluit die RPC poortbinder (NFSv3 te ondersteun) en Oracle * TNS helpers.
Wat is nuut in die weergawe 1.2.2:
- Selektiewe spoel vir die & quot; t & quot; en & quot; -F & quot; opdrag opsies is geïmplementeer.
- Die pleeg werking is nou sinchrone.
Wat is nuut in die weergawe 1.2.0:
- Hierdie weergawe ondersteun NAT verwagtinge, sinchronisasie van die verwagting klas, helper name, en verwag funksies.
- Filtering deur Mark is nou toegelaat.
- Voorbeeld konfigurasies vir Q.931 en H.245 is bygevoeg.
Wat is nuut in die weergawe 1.0.1:
- Ondersteuning vir merk maskers is bygevoeg
Wat is nuut in die weergawe 0.9.11:
- Hierdie release sluit opgehoopte fixes, een verbetering vir die stemdag benadering en 'n paar van die nuwe funksies.
Wat is nuut in die weergawe 0.9.10:
- 'n nuwe "-C 'n opsie vir die opdrag line interface die aantal inskrywings in die conntrack en verwagting tafels te vertoon.
- Interne prestasie verbeterings.
- Ondersteuning vir multi-toegewyde skakels.
- Uitgebreide statistieke inligting.
- Polling (of joernaal-gebaseerde) sinchronisasie.
Wat is nuut in die weergawe 0.9.9:
- Filter ondersteuning is bygevoeg vir verwante verbindings (-L --status verwagte).
- Verskeie manpage updates gemaak is.
- 'n nuwe boodskap formaat word gebruik in die replikasie protokol (wat breek agtertoe verenigbaarheid met vorige conntrack-gereedskap vrystellings).
- Verskeie verbeterings is gemaak.
- CIDR-gebaseerde filter ondersteuning is bygevoeg.
- Solutions en verbeteringe is in die staat inspuiting kern (pleeg).
- Verskeie skoonmaak gemaak is.
Wat is nuut in die weergawe 0.9.8:
- Hierdie release sluit baie updates, fixes en verbeterings in die command line instrument en die gebruiker-ruimte bediener.
- Opgradering word aanbeveel.
Vereistes :
- libnfnetlink
- libnetfilter_conntrack
Kommentaar nie gevind