Ядро Linux містить мережеву функцію під назвою conntrack (відстеження з’єднань). Conntrack по суті таблиця, яка зберігає інформацію про всі вхідні та вихідні підключення (також відомі як сеанси) до хосту. Важливо підтримувати розумну кількість сеансів conntrack.

Цей інструмент можна використовувати шукати, перераховувати, перевіряти та підтримувати підсистему відстеження з’єднань ядра Linux. Використовуючи conntrack, ви можете створити список усіх (або відфільтрований вибір) з’єднань, які наразі відстежуються, видалити з’єднання з таблиці станів і навіть додати нові.

Відстеження підключення (conntrack) є основна функція мережевого стеку ядра Linux, що забезпечується модулем nf_conntrack. Після завантаження модуля nf_conntrack починає працювати функція відстеження підключення. Він визначає, чи належить кожен пакет, що проходить, до існуючого з’єднання.

Використання conntrack: інтерфейс командного рядка. Ви можете перерахувати існуючі потоки за допомогою утиліти conntrack за допомогою команди -L: # conntrack -L tcp 6 431982 ВСТАНОВЛЕНО src=192,168. 2,100 dst=123,59.

conntrack функціонує як база даних для мережевих з’єднань, які проходять через сервер Linux. Він відстежує стан кожного мережевого підключення (TCP, UDP, ICMP тощо). Стан мережевого підключення має вирішальне значення для фільтрації пакетів і правил NAT у Kubernetes.

5 відповідей

1. видалити будь-які посилання на модуль стану в iptables. Отже, правил немає. …
2. видаліть наступний рядок (якщо він існує) у /etc/sysconfig/iptables-config. IPTABLES_MODULES="ip_conntrack_netbios_ns" …
3. перезавантажте iptables без ваших правил стану. …
4. скиньте модулі. …
5. підтвердьте, що у вас немає посилання на /proc/net/nf_conntrack.

Основна відповідь: Conntrack замінює state , але в сучасних ядрах тепер між ними немає різниці. Стан наразі має псевдонім і перекладається на conntrack в iptables, якщо його має ядро, тому синтаксис -m state –state фактично перекладається на -m conntrack –ctstate і обробляється тим самим модулем.