Vraag Iptables, wat is het verschil tussen -m state en -m conntrack?


Wat is het praktische verschil tussen:

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

en

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Welke is het beste om te gebruiken?

Dank je.


48
2018-02-10 22:56


oorsprong


Merk op dat voor Linux Kernel 3.7 en hoger de status is verwijderd. Alleen Conntrack is beschikbaar. - Mr. X
Ik gebruik 3.10.0 en de staat wordt nog steeds ondersteund ...
state is verouderd ten gunste van conntrack, en kan al dan niet worden gecompileerd, afhankelijk van hoe je kernel werd gebouwd. - Michael Hampton♦


antwoorden:


Beide gebruiken dezelfde kernel-internals eronder (verbinding-tracking-subsysteem).

Header van xt_conntrack.c:

xt_conntrack - Netfilter module to match connection tracking
information. (Superset of Rusty's minimalistic state match.)

Dus ik zou zeggen - toestandsmodule is eenvoudiger (en misschien minder foutgevoelig). Het is ook langer in kernel. Conntrack aan de andere kant heeft meer opties en functies [1].

Mijn oproep is om conntrack te gebruiken als je zijn functies nodig hebt, anders vasthouden aan de toestandsmodule.

Vergelijkbare vraag op netfilter maillist.

[1] Heel nuttig als "-m conntrack --ctstate DNAT -j MASQUERADE" routing / DNAT fixup ;-)


26
2018-02-11 00:29

Er is geen verschil in de uitkomst van die twee regels. Beide overeenkomstextensies gebruiken dezelfde gegevens om overeen te komen met de verbindingsvolgstatus. state is de "oude" match-extensie en conntrack is nieuwer en heeft veel meer opties dan alleen het matchen van de verbindings-tracking-status.


8
2018-02-11 00:21

Iptables Doc

Zoals de documentatie zegt:

De conntrack-match is een uitgebreide versie van de state-match, die het mogelijk maakt pakketten op een veel gedetailleerdere manier te matchen. Hiermee kunt u informatie bekijken die direct beschikbaar is in het verbindingsvolgsysteem, zonder "frontend" -systemen, zoals in de statusmatch. Voor meer informatie over het verbindingsvolgsysteem, bekijk het hoofdstuk over de status van de machine.


1
2017-09-28 10:10referentie werkt niet meer - prosti