iptables conntrack和state的区别

最新推荐文章于 2024-03-05 13:26:53 发布
最新推荐文章于 2024-03-05 13:26:53 发布
阅读量2.7k 收藏 4
点赞数 3
分类专栏: iptables

iptables conntrack和state的区别

 

分类: LINUX

2015-07-13 14:47:19

 

-m conntrack --ctstate ESTABLISHED,RELATED -j ...
-m state --state ESTABLISHED,RELATED -j ... 
我们要对一条连接做处理,可以用以上两种match target来实现。
两者的区别是啥?!
有观点:
1. ubuntu的howto推荐是conntrack,除非有错的话,再使用state
2. conntrack模块会在以后的版本中取代state,现在保留state模块只是为了兼容老用户的习惯
3. http://serverfault.com/questions/190978/firewall-questions-about-state-and-policy
   这里面老外得出的结论是,conntrack在技术上完全可以取代state,state会逐渐废弃。然而,事实上state并没被废弃,一直在使用。
4. 一份邮件中提到,state仅仅是conntrack的alias,那么你是用哪个也就无所谓了,反正都是用的conntrack功能

结论:
    根据serverfault的QA
    conntrack和state在内核层的实现是一致的(都使用contrack的nf_ct_get)。
    xt_conntrack.c(conntrack模块的内核实现)比xt_state.c提供了更加丰富的选项和功能。
    state只是一个最小化的状态集合,只支持基本的连接状态。
    而conntrack可以支持包括NAT、连接协议、端口、地址等更复杂的选项。
    iptables -m conntrack --help 可以看到支持的所有匹配选项

macWhale
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iptables之SNAT和DNAT
01-08
iptables、SNAT和DNAT实验
linux iptables nf_conntrack 简介
whatday的专栏
01-02 2883
目录 nf_conntrack模块常用命令 nf_conntrack会话表的内容解释 nf_conntrack相关内核参数和解释 如何判断会话表是否满 会话表满的解决办法 计算公式 nf_conntrack(在老版本的 Linux 内核中叫 ip_conntrack)是一个内核模块,用于跟踪一个连接的状态的。连接状态跟踪可以供其他模块使用,最常见的两个使用场景是 iptables 的 nat 的 state 模块。 iptables 的 nat 通过规则来修改目的/源地址,但光修改地址不行,我
Linux conntrackiptables技术解析
李姓门徒
03-05 1218
conntrackiptables是Linux操作系统中的两个网络工具,用于网络连接跟踪和流量过滤。 conntrack是一个内核模块,用于在网络连接建立时跟踪和记录连接的信息。它可以记录连接的源地址、目的地址、端口等信息,并且能够在连接关闭后继续跟踪一段时间。通过conntrack,系统管理员可以查看和管理网络连接状态,如查看活动连接、删除连接等。iptables是一个防火墙工具,用于管理和配置Linux操作系统的数据包过滤规则。它可以根据数据包的源地址、目的地址、端口等信息来过滤网络流量,以实现
Iptables防火墙state模块扩展匹配规则
江晓龙的博客
07-09 803
state模块也就是conntrack连接追踪的概念,主要作用就是源端到目标端所经过的路由跟踪记录,通过连接跟踪,就可以分析出源端到目标端所经过的地址,然后判断出有哪些是异常的,哪些是正常的。连接追踪,第一次建立的请求时NEW状态,基于NEW状态之后,在建立的连接是ESTABLISHED状态,RELATED是相关的连接,INVALID是无效的连接。一个典型的场景:当本机的80端口向其他客户端发起了请求,但是并不是ESTABLISHED状态,而是NEW状态,此时一定是有问题的,WEB 80端口不会向客户端发起
iptables使用详解
热门推荐
weixin_38166318的博客
10-16 3万+
如何使用Iptables实现网络安全访问?iptables为什么默认限制不了docker暴露的端口?
ovs conntrack及nat
fengcai_ke的博客
07-08 1771
ovs连接跟踪及nat实现分析
iptables 的一些-m模块
BUG_MeDe的博客
07-07 2375
iptables一些简单的模块
iptables
cp_dvd的博客
08-20 1337
指定多个源端口[!# 指定多个目标端口[!..#多个源或目标端[!][root@rock1 ~]# iptables -A INPUT -s 10.0.0.151/16 -d 10.0.0.150 -p tcp -m multiport --dports 20:30,80 -j ACCEPT (追加,INPUT,源,目标,指定协议,-m指定命令,指定端口号,接受 )
Iptablesconntrack连接跟踪模块
wdt3385的专栏
02-28 9739
Iptables是有状态机制的防火墙,通过conntrack模块跟踪记录每个连接的状态,通过它可制定严密的防火墙规则。 可用状态机制: 1 2 3 4 5 #http://blog.onovps.com NEW #新连接数据包 ESTABLISHED #已连接数据包 RELATED #和出有送的数据包 INVALID #无效数据包
Iptables状态跟踪(conntrack)相关命令与参数
shijin741231的博客
01-22 964
简述Iptables conntrack,介绍概念、参数,并给出推荐配置
Linux必选掌握的命令iptables
我是不是菜鸟
03-07 832
iptables iptables指令用来设置Linux内核的ip过滤规则以及管理nat功能。iptables用于在Linux内核中设置、维护和检查IPv4数据包过滤规则表。可以定义几个不同的表。每个表包含许多内置链,也可能包含用户定义的链。每个链都是一个规则列表,可以匹配一组数据包。每条规则都指定如何处理匹配的数据包。这被称为“目标”,它可能是跳转到同一表中的用户定义链。 此命令的适用范围:Re...
IPtables中SNAT和MASQUERADE的区别
05-06
xxxxxxxxxxxxxxxxxxxxxxxIPtables中SNAT和MASQUERADE的区别
iptables和firewalld.pdf
11-30
很详细的iptables和firewalld,
ctrmd:Conntrack条目删除守护程序
03-09
ctrmd-conntrack条目删除守护程序 ctrmd提供了一种使用iptables规则删除conntrack条目的机制。 由于不存在删除iptables中的conntrack条目的本机支持,因此使用以下方法: 数据包被发送到iptables中的专用NFLOG组...
Iptables表和链最清晰解释
01-15
Iptables表和链最清晰解释 下文有个词mangle,我实在没想到什么合适的词来表达这个意思,只因为我的英语太差! 我只能把我理解的写出来,这个词表达的意思是,会对数据包的一些传输特性进行修改,在mangle表中允许的...
大学物理册答案上下都有
04-26
大学物理册答案上下都有
UWB超宽带信道研究及源码.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
Suno AI语音技术的资源描述
04-26
Suno AI 是一家领先的人工智能(AI)公司,专注于开发创新的语音技术和解决方案。以下是关于 Suno AI 的资源描述: 语音识别技术:Suno AI 拥有先进的语音识别技术,能够准确地将语音转换为文本。他们的语音识别系统经过了大量的训练和优化,具有高度的准确性和鲁棒性,可应用于多种场景,如语音助手、语音搜索、智能客服等。 语音合成技术:除了语音识别,Suno AI 还致力于开发自然、流畅的语音合成技术。他们的语音合成系统能够生成高质量、逼真的语音输出,可以用于语音助手、自动化客服、有声书等领域。 智能语音应用开发:Suno AI 提供了一系列工具和平台,帮助开发者快速构建和部署智能语音应用。他们的开发工具包括 API 接口、SDK、开发文档等,支持多种编程语言和平台,让开发者可以轻松地集成语音功能到自己的应用中。 行业解决方案:Suno AI 为各行各业提供定制化的语音解决方案,满足客户特定的需求和业务场景。他们与零售、金融、医疗等领域的企业合作,提供智能语音客服、语音导航、语音支付等解决方案,帮助客户提升服务质量和效率。
基于matlab的射线信道模型内含数据集.zip
最新发布
04-26
基于matlab的射线信道模型内含数据集.zip
iptables conntrack模块
05-20
iptables conntrack模块是iptables的一个内核模块,它可以跟踪网络连接的状态并在iptables规则中使用。该模块可以用于限制或允许特定类型的网络流量,例如可以设置规则只允许已经建立的连接通过,或者阻止非法的网络连接等。 使用iptables conntrack模块需要先启用内核的连接跟踪功能,通常是通过加载nf_conntrack模块来实现。然后,使用iptables命令来设置规则,规则可以根据连接状态、源地址、目标地址、协议、端口等条件进行匹配和过滤。 例如,以下命令可以限制只允许已经建立的TCP连接通过: ``` iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --syn -j DROP ``` 以上命令中,第一条规则允许已经建立的连接通过,第二条规则阻止所有尝试建立新连接的TCP流量。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值