conntrack-tools oferă un set de instrumente spațiu-utilizator de software gratuit pentru Linux, care permite administratorilor de sistem pentru a interacționa cu sistem de urmărire Connection, care este modulul care asigură packet inspection dinamică pentru iptables. Cele conntrack-tools sunt conntrackd spațiul utilizator demon și interfață linie de comandă conntrack.
De ce purta conntrack-unelte?
În spațiul utilizator demon conntrackd pot fi folosite pentru a permite disponibilitate înaltă dispersie pe bază de firewall-uri statefull și se colectează statistici ale utilizării firewall dinamică. Interfață conntrack linie de comandă oferă o interfață mai flexibilă a sistemului de urmărire connnection decât / proc / net / ip_conntrack.
Ce pot face conntrack-unelte pentru mine?
O mulțime de lucruri interesante. conntrackd acoperă aspectele specifice ale firewall-uri statefull Linux pentru a permite soluții de disponibilitate înaltă și poate fi folosit ca statisticile colector al utilizării firewall, de asemenea. Interfață linie de comandă conntrack oferă o interfață pentru a adăuga, șterge și intrările de debit actualizare, lista fluxurile activi actuale din simplu text / XML, fluxurile de curent IPv4 NAT'ed, reseta contoare atomic, spălați masa de urmărire de conectare și monitoriza evenimentele de urmărire conexiune între multe alte.
Deci, nu conntrackd oferă un echivalent de pfsync OpenBSD lui?
Da. conntrackd sincronizează statele între mai multe firewall-uri replica, astfel încât să puteți implementa setări failover cu paravane de protecție stateful Linux. Vedeți secțiunea de suport pentru mai multe informații. Cu toate acestea, conntrackd pot fi de asemenea folosite pentru a colecta statistici ale utilizării firewall dinamică.
De ce să folosiți instrumentul conntrack linie de comandă în loc de / proc / net / ip_conntrack?
Există mai multe motive bune pentru a face acest lucru. Interfața / proc oferă o interfață destul de limitat la Tracking System Connection, deoarece permite doar să arunce curentul de rețea active. În schimb, conntrack vă permite să actualizați fluxurile de rețea fără a adăuga o nouă regulă iptables, de exemplu, actualiza marca conntrack, sau arunci tabelul de urmărire de conectare în format XML. Mai mult decât atât, folosind interfața / proc să-și arunce masa de urmărire conexiune sub firewall-uri foarte ocupat, adică cele cu tone de state de conectare, dăunează performanță. Concret, acest lucru devine o problemă dacă sondajul din interfața / proc pentru a obține statistici firewall. De asemenea, conntrack oferă monitorizarea evenimentelor de conectare care o caracteristică care interfața / proc nu prevede.
Pot utiliza conntrack pentru a reduce conexiunile TCP stabilite?
Da. Puteți folosi conntrack pentru a ucide o conexiune TCP stabilit fără a se adăuga o regulă iptables. Desigur, aveți nevoie de un set de reguli dinamică sănătoasă, care ar bloca un pachet care nu se potrivește cu orice intrare existent în tabelul de urmărire Connection. Practic, ideea constă în îndepărtarea intrării că vorbește despre conexiunea TCP victimă. Astfel, clientul experiențele o conexiune stea. Mai mult decât atât, întrucât conntrack nu este dependentă de protocolul de nivel 4, puteți utiliza pentru a ucide orice strat de flux 4 rețea (UDP, SCTP, ...).
Ce este nou în această versiune:
- Această versiune adaugă suport să-și arunce & quot; & quot; moarte și & quot; neconfirmate & quot; listă prin ctnetlink.
- O impas din cauza rău semnal de blocare imbricate a fost rezolvată.
Ce este nou în versiunea 1.4.0:
- Această versiune adaugă infrastructura ajutor user-space, care include portmapper RPC (pentru a sprijini NFSv3) și Oracle * TNS ajutoare.
Ce este nou în versiunea 1.2.2:
- spălare selectivă pentru & quot; -t & quot; și & quot; -F & quot; opțiuni de comandă a fost pusă în aplicare.
- commit de operare este acum sincronă.
Ce este nou în versiunea 1.2.0:
- Această versiune suporta așteptările NAT, sincronizare de așteptările funcții de clasă, nume helper, și așteaptă.
- Filtrarea de marcă este acum permis.
- configurații exemplu Q.931 și H.245.
Au fost adăugate
Ce este nou în versiunea 1.0.1:
- Suport pentru măști notă a adăugat
Ce este nou în versiunea 0.9.11:
- Această versiune include remedieri acumulate, o îmbunătățire a abordare de votare și o pereche de noi caracteristici.
Ce este nou în versiunea 0.9.10:
- O nouă opțiune "Ci" pentru comanda linie de interfață pentru a afișa numărul de intrări în tabele conntrack și de așteptare.
- îmbunătățiri de performanță internă.
- Suport pentru link-uri multiple dedicat.
- Extinsa informații statistici.
- Polling (sau pe bază de lot) de sincronizare.
Ce este nou în versiunea 0.9.9:
- a adăugat suport si filtre pentru conexiuni legate de (-L --status așteptată).
- s-au făcut mai multe actualizări pagina de manual.
- Un nou format de mesaj este utilizat în protocolul de replicare (care sparge compatibilitatea cu conntrack-unelte anterioare versiuni).
- s-au făcut mai multe îmbunătățiri de performanță.
- a adăugat suport de filtrare pe baza de CIDR.
- Fixat și îmbunătățiri au fost făcute în injecția de stat la nucleu (comiterea).
- s-au făcut mai multe curatarea.
Ce este nou în versiunea 0.9.8:
- Această versiune include multe actualizări, remedieri și îmbunătățiri, în instrumentul de linie de comandă și demonul utilizator-spațiu.
- se recomanda Actualizarea.
Cerințe :
- libnfnetlink
- libnetfilter_conntrack
Comentariile nu a fost găsit