Criterion kapcsolat állapota - conntrack (iptables) - blog adminisztrátorok inelsis
Criterion kapcsolat állapot - conntrack (iptables)
által Mavrichev Sergey
conntrack - ellenőrzési kapcsolat állapotát
kötéséhez alkalmazott vegyületek. Különösen az állam osztja ÚJ csomagok megnyitása új kapcsolatokat, a kialakult állapotnak - tartozó csomagok a kapcsolatot a kapcsolódó mérkőzés csomagok nyit új kapcsolatokat, logikailag összefüggő egy már kialakult (például az adatkapcsolat passzív módban FTP). Érvénytelen az állam azt jelenti, hogy a csomag tartozik a kapcsolat nem hozható létre.
Például egy egyszerű szabály
kap a megfelelő továbbítására bejövő csomagokat tartozó létrehozott kapcsolatok és a képesség, hogy kiszűrje az új vegyületek.
Sokkal jobb, hogy cserélje ki a korábbi szabályozás LÉTRE LÉTRE, ezzel kapcsolatos
nincs megfelelő protokoll szűrés segítségével rokon vegyületek - FTP, SIP H.323 és mások. Ez az egyszerű (a szempontból a felhasználó), az olyan komplex (technikai szempontból) a probléma a vitathatatlan előnye, tűzfal - netfiltert, és a Linux kernel egészére.
Emellett conntrack szempont, érdemes megemlíteni, ideológiai elődje - state.On szempont volt, hanem -m conntrack --ctstate LÉTRE, összefügg.
Hasonló megfogalmazás még mindig fennállnak a sok tankönyvek iptables. Ugyanakkor a jelenlegi állapot feltétel elavult, és a fejlesztők használatát javasoljuk iptables helyett conntrack kritériumot. Szintén fontos megjegyezni, hogy a kritérium conntrack több funkciója van, mint az állami, és lehetővé teszi a használatát további információt a kapcsolat, különösen, az állam a vegyület (ctstatus).