两者之间的实际区别是什么:
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
和
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
最好使用哪一种?
谢谢你。
kup*_*son 26
两者都在下面使用相同的内核内部结构(连接跟踪子系统)。
xt_conntrack.c 的标题:
xt_conntrack - Netfilter module to match connection tracking
information. (Superset of Rusty's minimalistic state match.)
所以我会说——状态模块更简单(可能更不容易出错)。它在内核中也更长。另一方面,Conntrack 有更多的选择和功能[1]。
如果您需要它的功能,我的呼吁是使用 conntrack,否则坚持使用状态模块。
[1] 非常有用,例如“-m conntrack --ctstate DNAT -j MASQUERADE”路由/DNAT 修复;-)
这两个规则的结果没有区别。两个匹配扩展使用相同的数据来匹配连接跟踪状态。state 是“旧的”匹配扩展,而 conntrack 是新的,并且比仅仅匹配连接跟踪状态有更多的选择。
| 归档时间: |
|
| 查看次数: |
27167 次 |
| 最近记录: |