conntrack-tools

conntrack-työkalut tarjoaa joukon vapaita userspace työkaluja Linux, jotka mahdollistavat järjestelmänvalvojat vuorovaikutuksessa Connection Tracking System, joka on moduuli, joka tarjoaa tilallista paketin tarkastus iptables. Conntrack-työkalut ovat userspace daemon conntrackd ja komentoriviltä conntrack.
Miksi käyttää conntrack-työkaluja?
Userspace daemon conntrackd voidaan mahdollistaa korkean käytettävyyden klusteripohjaiset tilallista palomuurit ja kerätä tilastoja tilallista palomuuri käytössä. Komentoriviltä conntrack tarjoaa joustavamman käyttöliittymän connnection seurantajärjestelmä kuin / proc / net / ip_conntrack.
Mitä tehdä conntrack-työkalut minulle?
Paljon hienoja asioita. conntrackd kattaa erityiset näkökohdat tilallista Linux palomuurit jotta korkean käytettävyyden ratkaisuja ja sitä voidaan käyttää tilastojen kerääjänä palomuurin käytöstä samoin. Komentoriviltä conntrack tarjoaa rajapinnan lisätä, poistaa ja päivittää virtaus merkinnät, listaamaan nykyiset aktiivinen virrat tekstimuodossa / XML, nykyinen IPv4 NAT'ed virtaa, nollata laskurit atomisesti, huuhtele yhteys seuranta pöytä ja valvoa yhteyden seuranta tapahtumien joukossa muut.
Niin, ei conntrackd tarjoaa vastaavan OpenBSD: n pfsync?
Kyllä. conntrackd synkronoi todetaan useiden replica palomuureja, joten voit ottaa vikasietoisuuden asetelmia Tilaisella Linux palomuurit. Katso tukiosuus lisätietoja. Kuitenkin conntrackd voidaan myös käyttää keräämään tilastoja tilallista palomuuri käytössä.
Miksi käyttää komentorivityökalua conntrack sijaan / proc / net / ip_conntrack?
On olemassa useita hyviä syitä tehdä niin. / Proc rajapinta tarjoaa melko rajalliset käyttöliittymä Connection Tracking System, koska se vain voit upottaa nykyinen aktiivinen verkon virrat. Sen sijaan conntrack voit päivittää verkkoon virrat lisäämättä uusi iptables sääntö, esim päivittää conntrack merkki, tai upottaa yhteyden seuranta taulukon XML-muodossa. Lisäksi käyttämällä / proc rajapinta upottaa yhteyden seuranta taulukosta hyvin kiireinen palomuurit, eli ne, joiden tonnia yhteystilat, vahingoittaa suorituskykyä. Erityisesti tämä tulee ongelma, jos pollata / proc rajapinta saada palomuurin tilastoihin. Myös conntrack tarjoaa yhteyden tapahtumien seurannan ominaisuus / proc rajapinta ei tarjoa.
Voinko käyttää conntrack leikata perustettu TCP-yhteyksiä?
Kyllä. Voit käyttää conntrack tappaa perustettu TCP-yhteyden lisäämättä iptables sääntö. Tietenkin tarvitset tervejärkinen tilallista Sääntöjoukoilla mikä estää paketti, joka ei vastaa mitään olemassa oleva Connection seuranta Taulukko. Periaatteessa ajatus koostuu poistamalla merkintä, joka kertoo hänelle TCP-yhteyden. Näin asiakas kokee yhteyden roikkua. Koska conntrack ei ole riippuvainen kerroksen 4 protokollaa, voit tappaa riippumatta kerroksen 4 verkon virtaus (UDP, SCTP, ...).

Mitä uutta Tässä tiedotteessa: