conntrack-инструменты предлагает набор свободного программного обеспечения для пространства пользователя Linux инструментов, которые позволяют системным администраторам взаимодействовать с системой слежения подключения, которая является модулем, который обеспечивает динамическую проверку пакетов для IPTables. В conntrack-инструменты являются пользовательское демон conntrackd и интерфейс командной строки conntrack.
Почему использовать conntrack-инструменты?
Пространства пользователя демон conntrackd может быть использован для включения кластера высокой доступности на основе сохранением состояния брандмауэры и собрать статистику с состоянием использования брандмауэра. Интерфейс командной строки conntrack обеспечивает более гибкий интерфейс к connnection системы слежения, чем / Proc / нетто / ip_conntrack.
Что можно сделать conntrack-инструменты для меня?
Много интересных вещей. conntrackd охватывает конкретные аспекты с состоянием брандмауэров Linux для того, чтобы решения высокой доступности, и это может быть использовано в качестве статистики коллектора использования брандмауэра, а также. Интерфейс командной строки conntrack предоставляет интерфейс для добавления, удаления и обновления записей потока, список активных потоков текущих в текстовом / XML, ток течет IPv4 NAT'ed, сброс счетчиков атомно промойте таблицу отслеживания соединения и контролировать отслеживания соединение события среди многих Другие.
Итак, ничего conntrackd обеспечивает эквивалент pfsync OpenBSD в?
Да. conntrackd синхронизирует состояния между несколькими брандмауэрами реплик, так что вы можете развернуть отказоустойчивые настройки с сохранением состояния межсетевых экранов Linux. Смотрите раздел поддержки для получения дополнительной информации. Тем не менее, conntrackd также может быть использован для сбора статистики с состоянием использования брандмауэра.
Зачем использовать инструмент командной строки conntrack вместо / Proc / нетто / ip_conntrack?
Есть несколько веских причин, чтобы сделать это. Интерфейс / Proc предлагает довольно ограниченный интерфейс к соединению системы слежения, поскольку он позволяет только сбрасывать текущие активные сетевые потоки. Вместо этого, conntrack позволяет обновлять сети потоков без добавления нового Iptables правило, например, обновить conntrack знак, или записать таблицу отслеживания соединения в формате XML. Кроме того, с помощью интерфейса / Труды сбросить таблицу отслеживания соединение под очень занятых брандмауэры, например, те, с тоннами государств связи, вредит производительности. В частности, это становится проблемой, если вы опрашивать из интерфейса / Proc получить статистику брандмауэра. Кроме того, conntrack предлагает событий подключения мониторинг которых функция, что интерфейс / Proc не предоставляют.
Могу ли я использовать conntrack сократить установленные соединения TCP?
Да. Вы можете использовать conntrack убить установленное соединение TCP без добавления Iptables правила. Конечно, вам требуется вменяемое динамическую набор правил, которые бы блокировать пакет, который не совпадает ни с существующей записи в таблице отслеживания соединений. В принципе, идея заключается в удалении запись, что переговоры о связи TCP жертвой. Таким образом, клиент испытывает связь повесить. Кроме того, поскольку conntrack не зависит от протокола слоя 4, вы можете использовать, чтобы убить все, что слой 4 сетевого потока UDP (протокол SCTP, ...).
Что нового В этом выпуске:
- этой версии добавлена поддержка сбрасывать & Quot; умирает & Quot; и & Quot; неподтвержденным & Quot; Список помощью ctnetlink.
- Тупик из-за неправильного блокирования вложенного сигнала была решена.
Что нового в версии 1.4.0:
- Эта версия добавляет вспомогательный инфраструктуры пользовательского пространства, которая включает в себя RPC Portmapper (для поддержки NFSv3) и Oracle * TNS помощников.
Что нового в версии 1.2.2:
- Выборочное промывка для & Quot; -t & Quot; и & Quot; -F & Quot; Параметры команды был реализован.
- операции фиксирования теперь синхронно.
Что нового в версии 1.2.0:
- Эта версия поддерживает NAT ожидания, синхронизация ожидании Функции класса, вспомогательные имена, и ожидать.
- Фильтрация по отметке в настоящее время допускается.
- Пример конфигурации для Q.931 и H.245 были добавлены.
Что нового в версии 1.0.1:
- Добавлена поддержка масок марки
Что нового в версии 0.9.11:
- Этот релиз включает исправления накопившихся один улучшение для Опрос подход и пару новых функций.
Что нового в версии 0.9.10:
- Новая опция '-c' для команды Линейный интерфейс для отображения количества записей в conntrack и ожидание таблиц.
- улучшения внутренней производительности.
- Поддержка многоядерных посвящена ссылкам.
- Расширенная информация Статистика.
- Опрос (или партия основе) синхронизация.
Что нового в версии 0.9.9:
- Фильтрация была добавлена поддержка для родственных связей (-L --status ОЖИДАЕМЫЕ).
- Было сделано несколько Manpage обновления.
- Новый формат сообщение используется в протоколе репликации (который нарушает обратную совместимость с предыдущими conntrack-инструменты версиях).
- Было сделано несколько улучшений производительности.
- был добавлен CIDR-поддержки на базе фильтрации.
- Исправления и улучшения были сделаны в государственной инъекции ядра (совершение).
- Было сделано несколько уборок.
Что нового в версии 0.9.8:
- Этот релиз включает в себя множество обновлений, исправлений и улучшений и в инструмент командной строки и в пользовательском пространстве демон.
- Обновление рекомендуется.
Требования
- libnfnetlink
- libnetfilter_conntrack
Комментарии не найдены