conntrack-tools

conntrack-εργαλεία προσφέρει ένα σύνολο εργαλείων userspace ελεύθερου λογισμικού για το Linux που επιτρέπει στους διαχειριστές του συστήματος να αλληλεπιδρούν με τη σύνδεση του συστήματος παρακολούθησης, το οποίο είναι η μονάδα που παρέχει stateful επιθεώρηση πακέτων για το iptables. Οι conntrack-εργαλεία είναι η conntrackd userspace δαίμονας και η γραμμή εντολών διεπαφής conntrack.
Γιατί να χρησιμοποιήσετε τις conntrack-εργαλεία;
Η conntrackd userspace δαίμονας μπορεί να χρησιμοποιηθεί για να επιτρέψει υψηλής διαθεσιμότητας σύμπλεγμα που βασίζεται stateful firewalls και συλλέγει στατιστικά στοιχεία του stateful firewall χρήση. Η διεπαφή γραμμής εντολών conntrack παρέχει μια πιο ευέλικτη διασύνδεση με το σύστημα παρακολούθησης connnection από / proc / net / ip_conntrack.
Τι μπορεί να κάνει τα conntrack-εργαλεία για μένα; ​​
Πολλά δροσερά πράγματα. conntrackd καλύπτει τις ειδικές πτυχές της stateful firewalls Linux να ενεργοποιήσει λύσεις υψηλής διαθεσιμότητας και μπορεί να χρησιμοποιηθεί ως συλλέκτης στατιστικά της χρήσης του τείχους προστασίας, καθώς και. Η conntrack περιβάλλον γραμμής εντολών παρέχει μια διεπαφή για να προσθέσετε, να διαγράψετε και τη ροή ενημέρωση εγγραφών, λίστα με τις τρέχουσες ενεργές ροές σε μορφή απλού κειμένου / XML, την τρέχουσα IPv4 NAT'ed ρέει, επαναφορά μετρητές ατομικά, ξεπλύνετε τον πίνακα παρακολούθησης σύνδεσης και να παρακολουθεί τα γεγονότα εντοπισμού σύνδεση μεταξύ πολλών άλλο.
Έτσι, δεν conntrackd παρέχει ένα ισοδύναμο pfsync του OpenBSD;
Ε Ναι. conntrackd συγχρονίζει τα κράτη μεταξύ αρκετών ρεπλίκα τείχη προστασίας, ώστε να μπορείτε να αναπτύξετε ρυθμίσεις ανακατεύθυνσης με stateful firewalls Linux. Δείτε το τμήμα υποστήριξης για περισσότερες πληροφορίες. Ωστόσο, conntrackd μπορεί επίσης να χρησιμοποιηθεί για τη συλλογή στατιστικών στοιχείων της stateful firewall χρήση.
Γιατί να χρησιμοποιήσετε το εργαλείο γραμμής εντολών conntrack αντί του / proc / net / ip_conntrack;
Υπάρχουν πολλοί καλοί λόγοι για να το πράξουν. Η διεπαφή / proc προσφέρει μια αρκετά περιορισμένη διασύνδεση με το Σύστημα Παρακολούθησης σύνδεσης, δεδομένου ότι μόνο σας επιτρέπει να απορρίπτουν τις τρέχουσες ενεργές ροές του δικτύου. Αντ 'αυτού, conntrack σας επιτρέπει να ενημερώσετε ροές του δικτύου χωρίς την προσθήκη ενός νέου κανόνα iptables, π.χ. ενημερώσετε το σήμα conntrack, ή απορρίπτουν τον πίνακα παρακολούθησης σύνδεσης σε μορφή XML. Επιπλέον, χρησιμοποιώντας το περιβάλλον / proc να απορρίπτουν τον πίνακα παρακολούθησης σύνδεση κάτω από πολύ απασχολημένος τείχη προστασίας, δηλαδή αυτούς με τους τόνους των μελών σύνδεσης, βλάπτει την απόδοση. Συγκεκριμένα, αυτό γίνεται ένα πρόβλημα αν ψηφοφορία από τη διασύνδεση / proc για να πάρει το τείχος προστασίας των στατιστικών. Επίσης, conntrack προσφέρει εκδηλώσεις σύνδεση παρακολούθησης που ένα χαρακτηριστικό που η διασύνδεση / proc δεν παρέχει.
Μπορώ να χρησιμοποιήσω conntrack να κόψει συνδέσεις TCP;
Ε Ναι. Μπορείτε να χρησιμοποιήσετε conntrack να σκοτώσει μια καθιερωμένη σύνδεση TCP χωρίς την προσθήκη ενός iptables κανόνα. Φυσικά, χρειάζεστε μια υγιής stateful σύνολο κανόνων που θα εμποδίσει ένα πακέτο που δεν ταιριάζει με καμία υπάρχουσα καταχώρηση στον πίνακα παρακολούθησης σύνδεσης. Βασικά, η ιδέα συνίσταται στην αφαίρεση της εισόδου που μιλά για τη σύνδεση TCP θύμα. Έτσι, ο πελάτης βιώνει μια σύνδεση κολλάει. Επιπλέον, δεδομένου ότι conntrack δεν εξαρτάται από το πρωτόκολλο του στρώματος 4, μπορείτε να χρησιμοποιήσετε για να σκοτώσουν ό, τι στρώμα 4 ροή του δικτύου (UDP, SCTP, ...).

Τι είναι καινούργιο σε αυτή την έκδοση:

• Αυτή η έκδοση προσθέτει υποστήριξη για να πετάξει το & quot? πεθαίνουν & quot? και & quot? ανεπιβεβαίωτες & quot? Λίστα μέσω ctnetlink.
• Ένα αδιέξοδο οφείλεται σε λάθος ένθετη μπλοκάρισμα του σήματος επιλύθηκε.

Τι είναι καινούργιο στην έκδοση 1.4.0:

• Αυτή η έκδοση προσθέτει το χρήστη διαστημικής υποδομής βοηθός, η οποία περιλαμβάνει την portmapper RPC (για την υποστήριξη NFSv3) και Oracle * TNS βοηθοί.

Τι είναι καινούργιο στην έκδοση 1.2.2:

• Επιλεκτική έξαψη για το & quot? -τ & Quot? και & quot? -F & quot? επιλογές εντολή έχει υλοποιηθεί.
• Η διαπράττουν λειτουργία είναι πλέον σύγχρονη.

Τι είναι καινούργιο στην έκδοση 1.2.0:

• Αυτή η έκδοση υποστηρίζει τις προσδοκίες ΝΑΤ, ο συγχρονισμός των προσδοκιών τάξη, τα ονόματα βοηθός, και αναμένουμε τις λειτουργίες.
• Φιλτράρισμα με σήμα επιτρέπεται τώρα.

Έχουν προστεθεί
• Παράδειγμα διαμορφώσεις για Q.931 και Η.245.

Τι είναι καινούργιο στην έκδοση 1.0.1:

• Υποστήριξη για μάσκες σήμα προστέθηκε

Τι είναι καινούργιο στην έκδοση 0.9.11:

• Αυτή η έκδοση περιλαμβάνει τις συσσωρευμένες διορθώσεις, μια βελτίωση για το δημοσκοπήσεων προσέγγιση και ένα ζευγάρι από τα νέα χαρακτηριστικά.

Τι είναι καινούργιο στην έκδοση 0.9.10:

• Μια νέα επιλογή "-C" για την εντολή διασύνδεση γραμμής για να εμφανίσετε τον αριθμό των εγγραφών στους πίνακες conntrack και προσδοκία.
• βελτίωση της εσωτερικής απόδοσης.
• υποστήριξη για multi-αφιερωμένη συνδέσεις.
• Εκτεταμένη πληροφορίες στατιστικά στοιχεία.
• Δημοσκόπηση (ή παρτίδα-based) συγχρονισμού.

Τι είναι καινούργιο στην έκδοση 0.9.9:

• Φιλτράρισμα υποστήριξη προστέθηκε για σχετικές συνδέσεις (-Ι --status αναμενόμενο).
• Αρκετές σελίδα man ενημερώσεις έγιναν.
• Μια νέα μορφή μηνύματος χρησιμοποιείται στο πρωτόκολλο αντιγραφής (που σπάει προς τα πίσω συμβατότητα με προηγούμενες conntrack-εργαλεία κυκλοφορίες).
• Αρκετές βελτιώσεις στην απόδοση έγιναν.
• προστέθηκε CIDR που βασίζεται υποστήριξη φιλτραρίσματος.
• Διορθώσεις και βελτιώσεις έγιναν στο κράτος ένεση στον πυρήνα (διαπράττουν).
• Αρκετές καθαρισμούς έγιναν.

Τι είναι καινούργιο στην έκδοση 0.9.8:

• Αυτή η έκδοση περιλαμβάνει πολλές ενημερώσεις, διορθώσεις και βελτιώσεις το εργαλείο της γραμμής εντολών και το user-space daemon.
• Αναβάθμιση συνιστάται.

Απαιτήσεις :

• libnfnetlink
• libnetfilter_conntrack