conntrack-tools

Nag-aalok

conntrack-tool ng hanay ng mga tool userspace libreng software para sa Linux na nagpapahintulot sa mga administrator ng system upang makipag-ugnay sa Koneksyon Pagsubaybay System, kung saan ay ang module na nagbibigay ng stateful packet inspeksyon para sa iptables. Ang conntrack-tool ang mga userspace demonyo conntrackd at ang conntrack interface command line.
Bakit gamitin ang conntrack-tool?
Ang userspace demonyo conntrackd ay maaaring magamit upang paganahin ang mataas na availability kumpol-based stateful firewall at mangolekta ng mga istatistika ng paggamit stateful firewall. Ang conntrack interface command line ay nagbibigay ng isang mas may kakayahang umangkop interface sa connnection pagsubaybay sa sistema sa / proc / net / ip_conntrack.
Ano ang magagawa ng conntrack-mga tool para sa akin?
Maraming mga cool na bagay. Sinasaklaw ng conntrackd ang mga tukoy na aspeto ng stateful firewall sa Linux upang paganahin ang mataas na availability solusyon at maaari itong gamitin bilang mga istatistika kolektor ng paggamit ng firewall pati na rin. Ang conntrack command line interface ay nagbibigay ng isang interface upang magdagdag, tanggalin at i-update daloy ng mga entry, ilista ang kasalukuyang aktibo ang mga daloy sa plain text / XML, kasalukuyang IPv4 NAT'ed dumadaloy, i-reset counter atomically, kapantay ng talahanayan tracking koneksyon at i-monitor ang pagsubaybay sa koneksyon ng mga kaganapan sa maraming isa.
Kaya, ang conntrackd ay nagbibigay ng isang katumbas ng pfsync OpenBSD ni?
Oo. conntrackd Sini-synchronize ng ang estado sa mga maraming salin mga firewall, kaya maaari mong i-deploy failover mga setup na may stateful firewall sa Linux. Tingnan ang seksyon ng suporta para sa higit pang impormasyon. Gayunpaman, conntrackd ay maaaring magamit rin upang mangolekta ng mga istatistika ng paggamit stateful firewall.
Bakit sa halip gamitin ang command line tool conntrack ng / proc / net / ip_conntrack?
Mayroong ilang mga magandang dahilan upang gawin ito. Ang / proc interface ay nag-aalok ng isang medyo limitadong interface sa Koneksyon Pagsubaybay System dahil pinapayagan nito lamang mong i-dump kasalukuyang aktibong daloy ng network. Sa halip, nagbibigay-daan sa conntrack mong i-update ang mga daloy ng network nang hindi nagdadagdag ng isang bagong panuntunan iptables, hal -update ang marka conntrack, o tambakan ng basura sa talahanayan tracking koneksyon sa XML format. Dagdag pa rito, gamit ang / proc interface upang dump ng talahanayan tracking koneksyon sa ilalim ng napaka-abala firewall, ibig sabihin, mga may tonelada ng mga estado na koneksyon, nakakapinsala sa pagganap. Sa partikular, ito ay nagiging isang problema kung ang poll mo mula sa / proc interface upang makakuha ng firewall istatistika. Gayundin, conntrack nag-aalok ng pagmamanman kaganapan koneksyon kung saan ang isang tampok na ang / proc interface ay hindi nagbibigay ng.
Maaari ko bang gamitin conntrack upang i-cut itinatag TCP koneksyon?
Oo. Maaari mong gamitin ang conntrack upang patayin ang isang naitaguyod na koneksyon sa TCP nang walang pagdaragdag ng iptables panuntunan. Siyempre, kailangan mo ng matino stateful Ruleset saan nais harangan ang isang packet na hindi tumutugma sa anumang umiiral na entry sa Table Pagsubaybay koneksyon. Talaga, ang ideya ay binubuo ng pag-alis ng entry na talk tungkol sa mga koneksyon ng TCP biktima. Kaya, ay nakakaranas ng client ang isang koneksyon hang. Dagdag pa rito, dahil conntrack ay hindi umaasa sa mga layer 4 protocol, maaari mong gamitin upang patayin ang anumang layer 4 daloy ng network (UDP, SCTP, ...).

Ano ang bagong sa paglabas:

• Ang bersyon na ito ay nagdadagdag ng suporta sa dump ang & quot; namamatay & quot; at & quot; hindi pa nakumpirma & quot; listahan sa pamamagitan ng ctnetlink.
• Ang kawalan ng pagkakasundo dahil sa maling pag-block Nested signal ay nalutas na.

Ano ang bagong sa bersyon 1.4.0:

• Ang bersyon na ito ay nagdadagdag ng imprastraktura helper-espasyo ng gumagamit, kung saan kasama ang RPC portmapper (upang suportahan ang NFSv3) at Oracle * TNS helpers.

Ano ang bagong sa bersyon 1.2.2:

• Selective Flushing para sa & quot; -t & quot; at & quot; -F & quot; Mga pagpipilian sa command na naipatupad.
• Ang gumawa ng operasyon ay hindi sabaysabay na ngayon.

Ano ang bagong sa bersyon 1.2.0:

• Sinusuportahan ng bersyon na ito NAT inaasahan, pag-synchronize ng pag-asa klase, mga pangalan ng helper, at inaasahan mga pag-andar.
• Pag-filter sa pamamagitan ng marka ang pinapayagang ngayon.
• Halimbawa configuration para sa Q.931 at H.245 naidagdag.

Ano ang bagong sa bersyon 1.0.1:

• Suporta para marka mask ay naidagdag

Ano ang bagong sa bersyon 0.9.11:

• Ang release na ito ay may kasamang naipon pag-aayos, isang pagpapabuti para sa diskarte ng botohan at ilang mga bagong tampok.

Ano ang bagong sa bersyon 0.9.10:

• Ang isang bagong opsyon na '-C' para sa command na line interface upang ipakita ang bilang ng mga entry sa conntrack at pag-asa table.
• pagpapabuti Panloob na pagganap.
• Suporta para sa multi-nakatuon link.
• Impormasyon Pinalawak na mga istatistika.
• Botohan (o batch-based)-synchronize.

Ano ang bagong sa bersyon 0.9.9:

• Pag-filter ng suporta ay naidagdag para sa mga kaugnay na koneksyon (-L --status EXPECTED).
• Maraming manpage mga update ay ginawa.
• Ang isang bagong format mensahe ay ginamit sa pagtitiklop protocol (na Pinaghihiwa-pabalik sa pagiging tugma sa mga nakaraang conntrack-tool release).
• Ang ilang mga pagpapabuti sa pagganap ay ginawa.
• suporta sa pag-filter ng CIDR-based ay idinagdag.
• Pag-aayos at pagpapabuti ay ginawa sa iniksyon estado sa kernel (paggawa).
• Maraming cleanups ay ginawa.

Ano ang bagong sa bersyon 0.9.8:

• Ang release na ito ay nagsasama ng maraming mga update, pag-aayos, at mga pagpapahusay sa command line tool at ang espasyong gumagamit demonyo.
• Pag-upgrade ay inirerekumenda.

Mga Kinakailangan :

• libnfnetlink
• libnetfilter_conntrack