conntrack-verktøy tilbyr et sett av fri programvare userspace verktøy for Linux som lar systemansvarlige til å samhandle med Connection Tracking System, som er modulen som gir Stateful Packet Inspection for iptables. De conntrack-verktøy er den userspace daemon conntrackd og kommandolinjegrensesnittet conntrack.
Hvorfor bruke conntrack-verktøy?
Den userspace daemon conntrackd kan brukes til å aktivere høy tilgjengelighet cluster-basert tilstands brannmurer og samle statistikk over tilstandsfull brannmur bruk. Kommandolinjegrensesnittet conntrack gir en mer fleksibel grensesnitt til connnection system for sporing enn / proc / net / ip_conntrack.
Hva kan gjøre conntrack-verktøy for meg?
Massevis av kule ting. conntrackd beskriver de spesielle aspekter av tilstands Linux brannmurer for å muliggjøre høy tilgjengelighet løsninger, og det kan brukes som statistikk samler av bruken brannmur også. Kommandolinjegrensesnittet conntrack gir et grensesnitt for å legge til, slette og oppdatere flyt oppføringer, liste dagens aktive strømmer i ren tekst / XML, nåværende IPv4 NAT'ed flyter, nullstille tellerne atomically, skylle forbindelse sporing bordet og overvåke tilkoblings sporing hendelser blant mange andre.
Så, conntrackd gir en tilsvarende OpenBSDs pfsync?
Ja. conntrackd synkroniserer statene blant flere replica brannmurer, slik at du kan distribuere failover oppsett med tilstands Linux brannmurer. Se brukerstøttesidene for mer informasjon. Imidlertid kan conntrackd også brukes til å samle inn statistikk over tilstandsfull brannmur bruk.
Hvorfor bruke kommandolinjeverktøyet conntrack stedet for / proc / net / ip_conntrack?
Det er flere gode grunner til å gjøre det. / Proc grensesnitt tilbyr en ganske begrenset grensesnitt til Connection Tracking System siden det bare gjør det mulig å dumpe dagens aktive nettverksstrømmer. I stedet lar conntrack du oppdatere nettverksstrømmer uten å legge til en ny iptables regel, f.eks oppdatere conntrack mark, eller dumpe forbindelse sporing tabellen i XML-format. Videre bruker / proc grensesnitt å dumpe den forbindelse sporing tabellen under svært travle brannmurer, dvs. de med tonnevis av tilkoblingsstatusene, skader ytelse. Spesielt blir dette et problem hvis du poller fra / proc grensesnitt for å få brannmur statistikk. Også conntrack tilbyr tilkoblings hendelser overvåking som en funksjon som / proc grensesnittet ikke gir.
Kan jeg bruke conntrack å kutte etablerte TCP-tilkoblinger?
Ja. Du kan bruke conntrack å drepe en etablert TCP-tilkobling uten å legge en iptables regel. Selvfølgelig, trenger du en forstandig Stateful regelsett som ville blokkere en pakke som ikke samsvarer med noen eksisterende oppføring i Connection Tracking Table. I utgangspunktet består ideen om å fjerne oppføringen som snakker om offeret TCP-tilkobling. Dermed opplever kunden en forbindelse henge. Dessuten, siden conntrack er ikke avhengig av laget 4-protokollen, kan du bruke til å drepe uansett lag fire nettverk flow (UDP, SCTP, ...).
Hva er nytt i denne utgaven:
- Denne versjonen legger til støtte for å dumpe & quot; døende & quot; og & quot; ubekreftet & quot; listen via ctnetlink.
- En vranglås på grunn av feil nestet signal blokkering ble løst.
Hva er nytt i versjon 1.4.0:
- Denne versjonen legger den bruker plass helper infrastruktur, som inkluderer RPC portmapperen (for å støtte NFSv3) og Oracle * TNS hjelpere.
Hva er nytt i versjon 1.2.2:
- Selektiv spyling for & quot; -t & quot; og & quot; -F & quot; kommandoalternativer har blitt implementert.
- forplikte operasjonen er nå synkron.
Hva er nytt i versjon 1.2.0:
- Denne versjonen støtter NAT forventninger, synkronisering av forventning klasse, hjelper navn, og forventer funksjoner.
- Filtrering av mark er nå tillatt.
- Eksempel konfigurasjoner for Q.931 og H.245 har blitt lagt til.
Hva er nytt i versjon 1.0.1:
- Støtte for mark masker ble lagt
Hva er nytt i versjon 0.9.11:
- Denne utgivelsen inkluderer akkumulert fikser, en forbedring for polling tilnærming og et par nye funksjoner.
Hva er nytt i versjon 0.9.10:
- En ny 'C' alternativet for kommando grensesnittet til å vise antall oppføringer i conntrack og forventnings tabeller.
- forbedringer Intern ytelse.
- Støtte for multi-dedikert lenker.
- Utvidet statistikk informasjon.
- Polling (eller batch-basert) synkronisering.
Hva er nytt i versjon 0.9.9:
- Filtrering støtten ble lagt for beslektede forbindelser (-L --status FORVENTET).
- Flere manpage oppdateringer ble gjort.
- En meldingsformat ny brukes i replikering protokollen (som bryter bakoverkompatibilitet med tidligere conntrack-verktøy utgivelser).
- Flere ytelsesforbedringer ble gjort.
- CIDR-basert filtrering støtte ble lagt til.
- Opprettinger og forbedringer ble gjort i staten injeksjon til kernel (begå).
- Flere opprydding ble gjort.
Hva er nytt i versjon 0.9.8:
- Denne utgivelsen inkluderer mange oppdateringer, rettinger og forbedringer i kommandolinjeverktøyet og den bruker plass daemon.
- Oppgradering anbefales.
Krav :
- libnfnetlink
- libnetfilter_conntrack
Kommentarer ikke funnet