conntrack-tools

conntrack-tools oferece um conjunto de ferramentas de espaço do usuário de software livre para Linux que permitem que os administradores de sistema para interagir com o Connection Tracking System, que é o módulo que fornece inspeção de pacotes para o iptables. Os conntrack-ferramentas são o conntrackd userspace daemon ea interface conntrack linha de comando.
Por que usar os conntrack-tools?
O conntrackd userspace daemon pode ser usado para permitir alta disponibilidade à base de cluster firewalls stateful e recolher estatísticas do uso firewall stateful. A interface de linha de comando conntrack fornece uma interface mais flexível para o sistema de rastreamento do que connnection / proc / net / ip_conntrack.
O que pode fazer as conntrack-ferramentas para mim?
Lotes de coisas legais. conntrackd abrange os aspectos específicos de firewalls Linux stateful para permitir soluções de alta disponibilidade e pode ser usado como coletor de estatísticas do uso firewall também. O conntrack interface de linha de comando fornece uma interface para adicionar, excluir e entradas de fluxo de atualização, a lista fluxos ativos atuais na planície text / XML, atual IPv4 NAT'ed flui, redefinir contadores atomicamente, lave a tabela de rastreamento de conexões e monitorar os eventos de rastreamento de conexão entre muitos outro.
Assim, faz conntrackd fornece um equivalente de pfsync do OpenBSD?
Sim: D. conntrackd sincroniza os estados entre vários firewalls réplica, para que possa implantar configurações de failover com firewalls Linux stateful. Veja a seção de suporte para obter mais informações. No entanto, conntrackd também pode ser usado para coletar estatísticas do uso firewall stateful.
Por que usar a ferramenta de linha de comando conntrack em vez de / proc / net / ip_conntrack?
Há várias boas razões para o fazer. A interface / proc oferece uma interface bastante limitada ao Connection Tracking System, uma vez que só lhe permite despejar os fluxos de rede ativos atuais. Em vez disso, conntrack permite atualizar os fluxos de rede sem adicionar uma nova regra de iptables, por exemplo, atualizar a marca conntrack, ou despejar a tabela de rastreamento de conexões em formato XML. Além disso, usando a interface / proc para despejar a tabela de rastreamento de conexão sob firewalls muito ocupado, ou seja, aqueles com toneladas de estados de conexão, prejudica o desempenho. Especificamente, isso se torna um problema se você pesquisar a partir da interface / proc para obter estatísticas de firewall. Além disso, conntrack oferece monitoramento eventos de conexão que um recurso que a interface / proc não fornece.
Posso usar conntrack para cortar as conexões TCP estabelecidas?
Sim: D. Você pode usar conntrack para matar uma conexão TCP estabelecida sem adicionar uma regra de iptables. É claro que você precisa de um conjunto de regras stateful sane que iria bloquear um pacote que não corresponde a qualquer entrada existente na Tabela de Acompanhamento Connection. Basicamente, a idéia consiste em remover a entrada que fala sobre a conexão TCP vítima. Assim, o cliente experimenta uma conexão cair. Além disso, desde conntrack não é dependente do protocolo de camada 4, você pode usar para matar qualquer que seja a camada 4 de fluxo de rede (UDP, SCTP, ...).

O que é novo nesta versão:

• Esta versão adiciona suporte para despejar o & quot; morrer & quot; e & quot; não confirmado & quot; lista via ctnetlink.
• Um impasse devido à errado bloqueio de sinal de nested foi resolvido.

O que é novo na versão 1.4.0:

• Esta versão acrescenta a infra-estrutura auxiliar de espaço do usuário, que inclui o portmapper RPC (para suportar NFSv3) e Oracle * TNS ajudantes.

O que é novo na versão 1.2.2:

• flushing seletivo para o & quot; -t & quot; e & quot; F & quot; opções de comando foi implementado.
• A operação de confirmação é agora síncrona.

O que é novo na versão 1.2.0:

• Esta versão suporta expectativas NAT, sincronização da expectativa classes, nomes de auxiliares, e esperam que as funções.
• A filtragem por marca agora é permitido.

Foram adicionadas
• configurações de exemplo para Q.931 e H.245.

O que é novo na versão 1.0.1:

• Suporte para máscaras marca foi adicionado

O que é novo na versão 0.9.11:

• Esta versão inclui correções acumulados, uma melhoria para o abordagem de votação e um par de novos recursos.

O que é novo na versão 0.9.10:

• Uma nova opção '-C' para o comando interface de linha para exibir o número de entradas nas tabelas conntrack e expectativa.
• melhorias de desempenho interno.
• Suporte para ligações de multi-dedicado.
• Extensão informações estatísticas.
• Polling (ou baseadas em batch) sincronização.

O que é novo na versão 0.9.9:

• suporte a filtragem foi adicionado para ligações relacionadas (-L --status esperado).
• Várias atualizações manpage foram feitas.
• Um novo formato de mensagem é usado no protocolo de replicação (que quebra a compatibilidade com versões anteriores com conntrack-tools anteriores lançamentos).
• Várias melhorias de desempenho foram feitas.
• foi adicionado suporte a filtragem baseada em CIDR.
• correções e melhorias foram feitas no estado de injeção para kernel (cometer).
• Várias limpezas foram feitas.

O que é novo na versão 0.9.8:

• Esta versão inclui muitas atualizações, correções e melhorias na ferramenta de linha de comando e o daemon do espaço do usuário.
• A atualização é recomendada.

Requisitos :

• libnfnetlink
• libnetfilter_conntrack