conntrack เครื่องมือมีชุดเครื่องมือ userspace ซอฟต์แวร์ฟรีสำหรับลินุกซ์ที่ช่วยให้ผู้ดูแลระบบในการโต้ตอบกับการเชื่อมต่อระบบการติดตามซึ่งเป็นโมดูลที่มีการตรวจสอบต stateful สำหรับ iptables conntrack-เครื่องมือภูต userspace conntrackd และอินเตอร์เฟซบรรทัดคำสั่ง conntrack
ทำไมต้องใช้ conntrack เครื่องมือ
ภูต userspace conntrackd สามารถนำมาใช้เพื่อเปิดใช้งานคลัสเตอร์ตามความพร้อมสูงไฟร์วอลล์ stateful และรวบรวมสถิติการใช้งานไฟร์วอลล์ stateful อินเตอร์เฟซบรรทัดคำสั่ง conntrack มีอินเตอร์เฟซที่มีความยืดหยุ่นมากขึ้นในระบบการติดตาม connnection กว่า / proc / สุทธิ / ip_conntrack
สิ่งที่สามารถทำ conntrack เครื่องมือสำหรับฉันหรือไม่
จำนวนมากสิ่งที่เย็น conntrackd ครอบคลุมลักษณะเฉพาะของไฟร์วอลล์ stateful ลินุกซ์เพื่อเปิดใช้งานการแก้ปัญหาที่มีประสิทธิภาพที่สูงและสามารถนำมาใช้เป็นสถิติสะสมของการใช้งานไฟร์วอลล์ได้เป็นอย่างดี อินเตอร์เฟซบรรทัดคำสั่ง conntrack มีอินเตอร์เฟซที่จะเพิ่มลบและการปรับปรุงรายการการไหลของกระแสรายการที่ใช้งานอยู่ในปัจจุบันในข้อความธรรมดา / XML, กระแส IPv4 NAT'ed, ตั้งค่าตัวนับอะตอมล้างตารางเชื่อมต่อการติดตามและตรวจสอบการเชื่อมต่อการติดตามเหตุการณ์ที่เกิดขึ้นในหลาย ๆ อื่น ๆ
ดังนั้นไม่ conntrackd ให้เทียบเท่า pfsync OpenBSD ของ?
ใช่ conntrackd ประสานรัฐในหมู่ไฟร์วอลล์แบบจำลองหลายเพื่อให้คุณสามารถปรับการตั้งค่าล้มเหลวกับไฟร์วอลล์ stateful ลินุกซ์ ดูส่วนการสนับสนุนสำหรับข้อมูลเพิ่มเติม อย่างไรก็ตาม conntrackd สามารถใช้ในการเก็บรวบรวมสถิติการใช้งานไฟร์วอลล์ stateful
ทำไมต้องใช้เครื่องมือบรรทัดคำสั่ง conntrack แทน / proc / สุทธิ / ip_conntrack?
มีเหตุผลที่ดีหลายครั้งที่จะทำเช่นนั้นเป็น / proc อินเตอร์เฟซที่มีอินเตอร์เฟซค่อนข้าง จำกัด ในการติดตามระบบการเชื่อมต่อตั้งแต่มันช่วยให้คุณสามารถถ่ายโอนข้อมูลกระแสเครือข่ายที่ใช้งานอยู่ในปัจจุบัน แต่ conntrack ช่วยให้คุณสามารถปรับปรุงกระแสเครือข่ายโดยไม่ต้องเพิ่มกฎ iptables ใหม่เช่น ปรับปรุงเครื่องหมาย conntrack หรือการถ่ายโอนข้อมูลตารางการติดตามการเชื่อมต่อในรูปแบบ XML นอกจากนี้การใช้ / proc อินเตอร์เฟซการถ่ายโอนข้อมูลตารางการติดตามการเชื่อมต่อภายใต้ไฟร์วอลล์ยุ่งมาก ๆ เช่นผู้ที่มีตันของการเชื่อมต่อการทำงานที่เป็นอันตราย โดยเฉพาะนี้จะกลายเป็นปัญหาถ้าคุณสำรวจจากอินเตอร์เฟซ / proc เพื่อให้ได้สถิติไฟร์วอลล์ นอกจากนี้ยังมีการตรวจสอบ conntrack เชื่อมต่อเหตุการณ์ที่เกิดขึ้นมีลักษณะการทำงานที่อินเตอร์เฟซ proc / ไม่ได้ให้
ฉันสามารถใช้ conntrack จะตัดการเชื่อมต่อที่จัดตั้งขึ้น TCP?
ใช่ คุณสามารถใช้ conntrack จะฆ่าเชื่อมต่อ TCP ที่จัดตั้งขึ้นโดยไม่ต้องเพิ่มกฎ iptables แน่นอนคุณต้อง ruleset stateful มีสติที่จะปิดกั้นแพ็คเก็ตที่ไม่ตรงกับรายการที่มีอยู่ในการติดตามการเชื่อมต่อตาราง โดยทั่วไปความคิดที่ประกอบด้วยการลบรายการที่พูดคุยเกี่ยวกับการเชื่อมต่อ TCP เหยื่อ ดังนั้นลูกค้ามีประสบการณ์การเชื่อมต่อที่แขวน นอกจากนี้ตั้งแต่ conntrack ไม่ได้ขึ้นอยู่ที่ชั้น 4 โปรโตคอลคุณสามารถใช้เพื่อฆ่าสิ่งที่ชั้น 4 การไหลของเครือข่าย (UDP, SCTP, ... ).
มีอะไรใหม่ ในรุ่นนี้:
- รุ่นนี้เพิ่มการสนับสนุนการถ่ายโอนข้อมูล & quot; ตาย & quot; และ & quot; ยืนยัน & quot; รายชื่อผ่านทาง ctnetlink.
- การหยุดชะงักเนื่องจากสัญญาณที่ซ้อนกันที่ไม่ถูกต้องปิดกั้นการได้รับการแก้ไข.
มีอะไรใหม่ ในรุ่น 1.4.0:
- รุ่นนี้จะเพิ่มการใช้พื้นที่โครงสร้างพื้นฐานผู้ช่วย ซึ่งรวมถึง portmapper RPC (เพื่อสนับสนุน NFSv3) และ Oracle * ช่วยเหลือ TNS.
มีอะไรใหม่ ในรุ่น 1.2.2:
- ล้างคัดเลือก & quot; -t & quot; และ & quot; -F & quot; ตัวเลือกคำสั่งได้รับการดำเนิน.
- การดำเนินการอยู่ในขณะนี้กระทำการซิงโคร.
มีอะไรใหม่ ในรุ่น 1.2.0:
- รุ่นนี้รองรับความคาดหวัง NAT ประสานของความคาดหวัง ระดับผู้ช่วยชื่อและคาดว่าฟังก์ชั่น.
- การกรองด้วยเครื่องหมายที่ได้รับอนุญาตในขณะนี้.
- การกำหนดค่าตัวอย่าง Q.931 และ H.245 ได้รับการเพิ่ม.
มีอะไรใหม่ ในรุ่น 1.0.1:
- การสนับสนุนสำหรับมาสก์เครื่องหมายถูกบันทึก
มีอะไรใหม่ ในรุ่น 0.9.11:
- ข่าวประชาสัมพันธ์ฉบับนี้รวมถึงการสะสมแก้ไขหนึ่งสำหรับการปรับปรุง วิธีการลงคะแนนเลือกตั้งและคู่ของคุณสมบัติใหม่.
มีอะไรใหม่ ในรุ่น 0.9.10:
- เลือกใหม่ '-C' สำหรับคำสั่ง อินเตอร์เฟซบรรทัดที่จะแสดงหมายเลขของรายการในตาราง conntrack และความคาดหวัง.
- การปรับปรุงประสิทธิภาพภายใน.
- การสนับสนุนสำหรับการเชื่อมโยงหลายทุ่มเท.
- สถิติข้อมูลเพิ่มเติม.
- การลงคะแนนเลือกตั้ง (หรือชุด-based) การประสาน.
มีอะไรใหม่ ในรุ่น 0.9.9:
- การสนับสนุนการกรองถูกเพิ่มเข้ามาสำหรับการเชื่อมต่อที่เกี่ยวข้อง (-L --status คาดหวัง).
- การปรับปรุง manpage หลายคนทำ.
- รูปแบบข้อความใหม่จะถูกนำมาใช้ในการจำลองแบบโปรโตคอล (ซึ่งแบ่งความเข้ากันได้ย้อนหลังกับรุ่นก่อนหน้านี้ conntrack เครื่องมือ).
- การปรับปรุงประสิทธิภาพหลายคนทำ.
- การสนับสนุนการกรอง CIDR-based ถูกเพิ่มเข้ามา.
- การแก้ไขและปรับปรุงได้ทำในการฉีดรัฐเพื่อ kernel (การกระทำ).
- สะสางหลายคนทำ.
มีอะไรใหม่ ในรุ่น 0.9.8:
- ข่าวประชาสัมพันธ์ฉบับนี้รวมถึงการปรับปรุงหลายการแก้ไขและปรับปรุง ในเครื่องมือบรรทัดคำสั่งและภูตผู้ใช้พื้นที่.
- การอัพเกรดขอแนะนำ.
ต้องการ
- libnfnetlink
- libnetfilter_conntrack
ความคิดเห็นที่ไม่พบ