conntrack nářadí nabízí sadu svobodných softwarových nástrojů uživatelského prostoru pro Linux, které umožňují správcům systému komunikovat s připojení Tracking System, což je modul, který poskytuje Stateful Packet Inspection pro iptables. V conntrack-tools jsou userspace démon conntrackd a rozhraní příkazové řádky conntrack.
Proč používat conntrack-tools?
Userspace démon conntrackd mohou být použity k tomu, aby s vysokou dostupností clusteru na základě stavových firewallů a sbírat statistiky stavovou použití firewallu. Příkazové řádky conntrack poskytuje více flexibilní rozhraní k connnection sledování systému, než / proc / net / ip_conntrack.
Co mohou dělat conntrack-tools pro mě?
Spousta skvělých věcí. conntrackd zahrnuje specifické aspekty stavových Linux firewallů, aby vysokou dostupnost řešení a může být použit jako statistika kolektoru použití firewallu stejně. Conntrack rozhraní příkazového řádku poskytuje rozhraní přidávat, mazat a aktualizovat toku záznamů, seznam aktuálních aktivní toky prostý text / xml, aktuální IPv4 NAT'ed teče, reset čítače atomically, propláchněte tabulku sledování připojení a sledování sledování připojení události z mnoha další.
Takže, to conntrackd poskytuje ekvivalent OpenBSD pfsync?
To Ano. conntrackd synchronizuje stavy mezi několik replik firewally, takže si můžete nasadit failover setupy s stavových Linux firewall. Naleznete v části Další informace podpory. Nicméně, conntrackd může být využit i pro sběr statistických údajů o stavovou použití firewallu.
Proč použijte nástroj příkazového řádku conntrack of / proc / net / ip_conntrack?
Existuje několik dobrých důvodů, proč to udělat. / Proc rozhraní nabízí poměrně omezený rozhraní pro připojení k systému sledování, protože pouze umožňuje vypsat aktuální aktivní síťové toky. Místo toho, conntrack umožňuje aktualizovat síťových toků bez přidání nové iptables pravidla, např aktualizovat conntrack značku, nebo vypsat tabulku sledování připojení ve formátu XML. Kromě toho, pomocí / proc rozhraní vypsat tabulku sledování připojení za velmi vytížených firewally, tedy ty, které s tunami připojení států, škodí výkon. Konkrétně to bude problém, pokud jste anketu ze / proc rozhraní získat statistiku firewallu. Také, conntrack nabízí monitoring připojení událostí, které funkce, která / proc rozhraní neposkytuje.
Mohu použít conntrack snížit zavedené TCP spojení?
To Ano. Můžete použít conntrack zabít zavedenou TCP spojení bez přidání iptables pravidla. Samozřejmě, že budete potřebovat rozumný stavové žádná pravidla pro filtrování, který by blokoval paket, který neodpovídá žádné existující položky v Connection sledování tabulky. V podstatě, myšlenka spočívá v odstranění položku, která hovoří o spojení oběť TCP. To znamená, že klient zažívá spojení zablokuje. Navíc, protože conntrack není závislý na protokolu vrstvy 4, můžete použít k zabíjení, co vrstva 4 sítě toku (UDP, SCTP, ...).
Co je nového V této verzi:
- Tato verze přidává podporu pro export & quot; umírající & quot; a & quot; nepotvrzený & quot; Seznam přes ctnetlink.
- zablokování kvůli nesprávné vnořené blokování signálu byl vyřešen.
Co je nového ve verzi 1.4.0:
- Tato verze přidává pomocnou infrastrukturu v uživatelském prostoru, který zahrnuje portmapper RPC (podpora NFSv3) a Oracle * TNS pomocníky.
Co je nového ve verzi 1.2.2:
- Selective vymývání & quot; t & quot; a & quot; -F & quot; byl proveden příkaz volby.
- commit Provoz je nyní synchronní.
Co je nového ve verzi 1.2.0:
- Tato verze podporuje NAT očekávání, synchronizace očekávání třídy, jména pomocné, a očekávají funkce.
- Filtrování známkou je nyní povolena.
- Příklad konfigurace pro Q.931 a H.245.
Byly přidány
Co je nového ve verzi 1.0.1:
- Podpora známky masky byl přidán
Co je nového ve verzi 0.9.11:
- Tato verze obsahuje kumulované opravy, jeden pro zlepšení přístup průzkum veřejného mínění a několik nových funkcí.
Co je nového ve verzi 0.9.10:
- Nová volba "-c" na povel řádky se zobrazí počet položek v conntrack a očekávání tabulky.
- zlepšení vnitřní výkonnosti.
- Podpora pro multi-věnovaná odkazy.
- Rozšířené statistiky informace.
- Polling (nebo šarže-based) synchronizace.
Co je nového ve verzi 0.9.9:
- Filtry byla přidána podpora pro související připojení (-L --status očekávané).
- Několik manuálové aktualizace byly provedeny.
- Nový formát zprávy se používá v protokolu replikace (který rozbíjí zpětná kompatibilita s předchozími conntrack-nářadí vydání).
- několik vylepšení výkonu byla provedena.
- se přidá CIDR na základě filtrování podporu.
- Opravy a vylepšení byly provedeny ve státní injekce do jádra (spáchání).
- Několik úklidy byly vyrobeny.
Co je nového ve verzi 0.9.8:
- Tato verze obsahuje mnoho aktualizace, opravy a vylepšení v příkazovém řádku nástroje a v uživatelském prostoru démona.
- Aktualizace je doporučena.
Požadavky na :
- libnfnetlink
- libnetfilter_conntrack
Komentáře nebyl nalezen