state-công cụ cung cấp một bộ công cụ không gian người dùng phần mềm miễn phí cho Linux cho phép các quản trị viên hệ thống tương tác với các kết nối Hệ thống theo dõi, mà là module cung cấp kiểm tra gói stateful cho iptables. The state-công cụ này là conntrackd gian người dùng daemon và các dòng lệnh giao diện state.
Tại sao sử dụng các công cụ state-?
Các conntrackd gian người dùng daemon có thể được sử dụng để kích hoạt tính năng sẵn sàng cao cụm dựa trên tường lửa stateful và thu thập số liệu thống kê của việc sử dụng tường lửa. Các dòng lệnh giao diện conntrack cung cấp một giao diện linh hoạt hơn với hệ thống theo dõi connnection hơn / proc / net / ip_conntrack.
Điều gì có thể làm state-công cụ cho tôi?
Rất nhiều thứ mát mẻ. conntrackd bao gồm các khía cạnh cụ thể của bức tường lửa Linux stateful để cho phép các giải pháp sẵn sàng cao và nó có thể được sử dụng như số liệu thống kê thu của việc sử dụng tường lửa là tốt. Các giao diện dòng lệnh conntrack cung cấp một giao diện để thêm, xóa và mục dòng cập nhật, danh sách các luồng hoạt động hiện nay ở đồng bằng văn bản / XML, hiện tại IPv4 NAT'ed chảy, thiết lập lại bộ đếm nguyên tử, tuôn ra bảng theo dõi kết nối và theo dõi các sự kiện theo dõi kết nối giữa nhiều khác.
Vì vậy, không conntrackd cung cấp tương đương của pfsync OpenBSD?
Vâng. conntrackd đồng bộ hóa các tiểu bang trong số nhiều bức tường lửa sao, vì vậy bạn có thể triển khai các thiết lập chuyển đổi dự phòng với bức tường lửa Linux stateful. Xem phần hỗ trợ để biết thêm thông tin. Tuy nhiên, conntrackd cũng có thể được sử dụng để thu thập số liệu thống kê của việc sử dụng tường lửa.
Tại sao sử dụng các công cụ dòng lệnh conntrack thay vì / proc / net / ip_conntrack?
Có nhiều lý do tốt để làm như vậy. Giao diện / proc cung cấp một giao diện khá hạn chế để các kết nối Hệ thống Theo dõi vì nó chỉ cho phép bạn để đổ dòng chảy mạng đang hoạt động hiện nay. Thay vào đó, state cho phép bạn cập nhật các dòng mạng mà không cần thêm một quy tắc iptables mới, ví dụ như cập nhật các dấu state, hay đổ bảng theo dõi kết nối trong định dạng XML. Hơn nữa, bằng cách sử dụng giao diện / proc để đổ các bảng theo dõi kết nối dưới bức tường lửa rất bận rộn, tức là những người có tấn của các trạng thái kết nối, làm tổn hại đến hiệu suất. Cụ thể, điều này sẽ trở thành một vấn đề nếu bạn thăm dò ý kiến từ các giao diện / proc để có được số liệu thống kê tường lửa. Ngoài ra, state cung cấp theo dõi các sự kiện kết nối mà một tính năng giao diện / proc không cung cấp.
Tôi có thể sử dụng conntrack cắt kết nối TCP được thiết lập?
Vâng. Bạn có thể sử dụng state để giết một kết nối TCP được thiết lập mà không cần thêm một quy tắc iptables. Tất nhiên, bạn cần một số các nguyên tắc stateful lành mạnh mà sẽ ngăn chặn một gói mà không phù hợp với bất kỳ mục hiện có trong Bảng theo dõi kết nối. Về cơ bản, các ý tưởng bao gồm việc loại bỏ các entry mà nói về các kết nối TCP nạn nhân. Như vậy, khách hàng phải chịu một kết nối treo. Hơn nữa, kể từ khi conntrack là không phụ thuộc vào các giao thức lớp 4, bạn có thể sử dụng để tiêu diệt bất cứ lớp 4 lưu lượng mạng (UDP, SCTP, ...).
là gì mới trong phiên bản này:
- Phiên bản này hỗ trợ thêm để đổ & quot; chết & quot; và & quot; không được xác nhận & quot; danh sách thông qua ctnetlink.
- Một bế tắc do sai tín hiệu chặn lồng nhau đã được giải quyết.
là gì mới trong phiên bản 1.4.0:
- Phiên bản này bổ sung thêm cơ sở hạ tầng helper sử dụng không gian, trong đó bao gồm các portmapper RPC (để hỗ trợ NFSv3) và Oracle * TNS người giúp đỡ.
là gì mới trong phiên bản 1.2.2:
- xả Selective cho & quot; -t & quot; và & quot; -F & quot; tùy chọn lệnh đã được thực hiện.
- Các cam kết hoạt động hiện nay là đồng bộ.
là gì mới trong phiên bản 1.2.0:
- Phiên bản này hỗ trợ NAT mong đợi, đồng bộ hóa ứng được kỳ vọng lớp, tên helper, và mong muốn các chức năng.
- Lọc bởi dấu hiện cho phép.
- cấu hình mẫu cho Q.931 và H.245 đã được thêm vào.
là gì mới trong phiên bản 1.0.1:
- Hỗ trợ cho các mặt nạ hiệu đã được bổ sung
là gì mới trong phiên bản 0.9.11:
- Phiên bản này bao gồm các bản sửa lỗi tích lũy, một cải tiến cho các Cách tiếp cận bỏ phiếu và một vài tính năng mới.
là gì mới trong phiên bản 0.9.10:
- Một lựa chọn mới 'C' cho lệnh giao diện dòng để hiển thị số lượng các mục trong bảng state và kỳ vọng.
- cải tiến hiệu suất nội bộ.
- Hỗ trợ cho các liên kết đa dành riêng.
- Mở rộng thông tin thống kê.
- Polling (hoặc lô-based) đồng bộ hóa.
là gì mới trong phiên bản 0.9.9:
- hỗ trợ các bộ lọc đã được bổ sung cho các kết nối liên quan (-L --status DỰ KIẾN).
- Một số thông tin cập nhật manpage đã được thực hiện.
- Định dạng tin nhắn mới được sử dụng trong các giao thức sao chép (mà phá vỡ tính tương thích ngược với trước đó state-công cụ phát hành).
- Một số cải tiến hiệu suất đã được thực hiện.
- hỗ trợ CIDR lọc dựa trên đã được bổ sung.
- Sửa chữa và cải tiến đã được thực hiện trong các nhà nước để phun hạt nhân (cam kết).
- Một số dọn dẹp đã được thực hiện.
là gì mới trong phiên bản 0.9.8:
- Phiên bản này bao gồm nhiều bản cập nhật, vá lỗi, và cải tiến trong các công cụ dòng lệnh và các daemon sử dụng không gian.
- Nâng cấp được khuyến khích.
Yêu cầu :
- libnfnetlink
- libnetfilter_conntrack
Bình luận không