那些遇到过的问题

iptables,-m state 和-m conntrack 有什么区别?

Bou*_*rne 49 iptables

两者之间的实际区别是什么:

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Run Code Online (Sandbox Code Playgroud) 

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Run Code Online (Sandbox Code Playgroud)

最好使用哪一种?

谢谢你。

kup*_*son 26

两者都在下面使用相同的内核内部结构(连接跟踪子系统)。

xt_conntrack.c 的标题:

xt_conntrack - Netfilter module to match connection tracking
information. (Superset of Rusty's minimalistic state match.)
Run Code Online (Sandbox Code Playgroud)

所以我会说——状态模块更简单(可能更不容易出错)。它在内核中也更长。另一方面,Conntrack 有更多的选择和功能[1]。

如果您需要它的功能,我的呼吁是使用 conntrack,否则坚持使用状态模块。

netfilter 邮件列表上的类似问题。

[1] 非常有用,例如“-m conntrack --ctstate DNAT -j MASQUERADE”路由/DNAT 修复;-)

lsm*_*oth 8

这两个规则的结果没有区别。两个匹配扩展使用相同的数据来匹配连接跟踪状态。state 是“旧的”匹配扩展,而 conntrack 是新的,并且比仅仅匹配连接跟踪状态有更多的选择。

归档时间:

查看次数:

27167 次

最近记录:

7 年 前
相关归档
iptables - 目标是将数据包路由到特定接口? 27
如何在 Redhat Enterprise Server 7 上保存 iptables 配置 14
CentOS部署Tomcat防火墙问题 10
如何使用 rsyslogd 在 Ubuntu 中仅在 /var/log/firewall 中记录 iptables 6
从 Win 网络看不到 Samba 服务器 5
IPtables 作为反向代理 5
iptables 错误/语法 3
如何为多播制定 iptables ALLOW 规则? 2
只允许来自 Cloudflare 的流量 2
未安装 iptables 评论模块 1
难疑归档
SSH 只使用我的密码,忽略我的 ssh 密钥,不要提示我输入密码 174
在 Bash 中检查数组是否为空 162
Unix“whoami”命令的 Windows 等价物是什么? 80
bash 中两个与符号和分号的操作方式有区别吗? 71
如何从 ssh 密钥对获取 .pem 文件? 66
NMAP:检查端口 80 和 8080 是否打开 63
如何在 nginx 中创建一个与 AND 一起使用且不带斜杠的位置? 63
php5-fpm:服务器到达 pm.max_children 58
如何在 linux 中 ping 直到知道主机? 55
未知/不支持的存储引擎:InnoDB | MySQL Ubuntu 54