conntrack-tools propose un ensemble de logiciels libres des outils de l'espace utilisateur pour Linux qui permettent aux administrateurs de système d'interagir avec le système de suivi de connexion, qui est le module qui fournit stateful packet inspection pour iptables. Les conntrack-outils sont les conntrackd espace utilisateur du démon et l'interface conntrack de ligne de commande.
Pourquoi utiliser les conntrack-tools?
Le conntrackd espace utilisateur du démon peut être utilisé pour activer les pare-feu stateful haute disponibilité à base de cluster et de recueillir des statistiques de l'utilisation de pare-feu dynamique. L'interface conntrack de ligne de commande offre une interface plus souple pour le système de suivi de connnection que / proc / net / ip_conntrack.
Que peut faire les conntrack-tools pour moi?
Beaucoup de choses cool. conntrackd couvre les aspects spécifiques de pare-feu stateful Linux pour offrir des solutions de haute disponibilité et il peut être utilisé comme collecteur de statistiques de l'utilisation de pare-feu ainsi. Le conntrack d'interface de ligne de commande fournit une interface pour ajouter, supprimer et le flux de mise à jour des entrées, la liste des flux actifs actuels en texte brut / XML, le courant IPv4 NAT'ed, réinitialiser les compteurs atomique, rincer le tableau de suivi de connexion et surveiller les événements de suivi de connexion entre plusieurs autre.
Donc, ne conntrackd fournit un équivalent de pfsync d'OpenBSD?
Ben Oui. conntrackd synchronise les États entre plusieurs répliques de pare-feu, de sorte que vous pouvez déployer des configurations de basculement avec pare-feu stateful Linux. Voir la section de support pour plus d'informations. Cependant, conntrackd peut également être utilisé pour recueillir des statistiques de l'utilisation de pare-feu dynamique.
Pourquoi utiliser l'outil conntrack de ligne de commande au lieu de / proc / net / ip_conntrack?
Il ya plusieurs bonnes raisons de le faire. L'interface / proc offre une interface très limitée à la connexion Système de suivi car il ne vous permet de vider les flux actifs de réseau actuels. Au lieu de cela, conntrack vous permet de mettre à jour les flux de réseau sans ajouter une nouvelle règle iptables, par exemple mettre à jour la marque de conntrack, ou vider la table de traçage de connexion au format XML. En outre, en utilisant l'interface / proc pour vider le tableau de suivi de connexion sous les pare-feu très occupés, ce est à dire ceux avec des tonnes de états de connexion, nuit à la performance. Plus précisément, cela devient un problème si vous sondage dans l'interface / proc pour obtenir des statistiques de pare-feu. Aussi, conntrack propose des événements de connexion contrôle qui une caractéristique que l'interface / proc ne fournit pas.
Puis-je utiliser conntrack pour couper les connexions TCP établies?
Ben Oui. Vous pouvez utiliser conntrack pour tuer une connexion TCP établie sans ajouter une règle iptables. Bien sûr, vous avez besoin d'un jeu de règles avec état sain d'esprit qui bloquerait un paquet qui ne correspond à aucune entrée existante dans le tableau de suivi de connexions. Fondamentalement, l'idée consiste à enlever l'entrée qui parle de la connexion TCP victime. Ainsi, le client éprouve une connexion accrocher. En outre, depuis conntrack ne dépend pas du protocole de couche 4, vous pouvez utiliser pour tuer quelque couche de flux de réseau 4 (UDP, SCTP, ...).
Ce qui est nouveau dans cette version:
- Cette version ajoute le support pour vider le & quot; mourir & quot; et & quot; non confirmée & quot; liste via ctnetlink.
- Un blocage en raison de mauvais blocage du signal imbriqué a été résolu.
Quoi de neuf dans la version 1.4.0:
- Cette version ajoute l'infrastructure d'aide de l'espace utilisateur, qui comprend le portmapper RPC (pour soutenir NFSv3) et Oracle * TNS aides.
Ce qui est nouveau dans la version 1.2.2:
- rinçage sélective pour le & quot; -t & quot; et & quot; -F & quot; options de commande a été mis en œuvre.
- Le opération de validation est maintenant synchrone.
Ce qui est nouveau dans la version 1.2.0:
- Cette version supporte attentes NAT, la synchronisation de l'attente des fonctions de classe, des noms de helper, et attendre.
- Filtrage par marque est désormais autorisé.
- Des exemples de configurations pour Q.931 et H.245 ont été ajoutés.
Quoi de neuf dans la version 1.0.1:
- Support pour Mark masques a été ajouté
Ce qui est nouveau dans la version 0.9.11:
- Cette version inclut des correctifs accumulés, une amélioration pour le approche du scrutin et un couple de nouvelles fonctions.
Ce qui est nouveau dans la version 0.9.10:
- Une nouvelle option «C» pour la commande interface de ligne pour afficher le nombre d'entrées dans les tables de conntrack et des attentes.
- amélioration de la performance interne.
- Support pour les liens multiples dédiée.
- informations statistiques étendues.
- Polling (ou base lots) synchronisation.
Ce qui est nouveau dans la version 0.9.9:
- en charge le filtrage a été ajouté pour les connexions liées (-L --status attendus).
- Plusieurs mises à jour de manuel ont été fait.
- Un nouveau format de message est utilisé dans le protocole de réplication (qui rompt la compatibilité ascendante avec conntrack-tools précédentes versions).
- Plusieurs améliorations de performance ont été faites.
- support filtrant à base de CIDR-a été ajouté.
- Corrections et améliorations ont été apportées dans l'injection de l'Etat à kernel (commettre).
- Plusieurs nettoyages ont été faites.
Ce qui est nouveau dans la version 0.9.8:
- Cette version inclut de nombreuses mises à jour, corrections et améliorations dans l'outil de ligne de commande et le démon de l'espace utilisateur.
- Mise à niveau est recommandé.
Exigences :
- libnfnetlink
- libnetfilter_conntrack
Commentaires non trouvées