conntrack-tools

conntrack-Tools bietet eine Reihe von kostenlosen Software-Userspace-Tools für Linux-Systemadministratoren, die mit dem Connection Tracking-System, das das Modul, Stateful Packet Inspection für iptables bietet, ist zu interagieren. Die conntrack-Werkzeuge sind die Userspace-Daemon conntrackd und die Befehlszeilenschnittstelle conntrack.
Warum die conntrack-Tools verwenden?
Die Userspace-Daemon conntrackd kann verwendet werden, um eine hohe Verfügbarkeit clusterbasierte Stateful Firewalls Statistik der Stateful-Firewall Nutzung zu ermöglichen und zu sammeln. Die Befehlszeilenschnittstelle conntrack bietet eine flexible Schnittstelle zum connnection Tracking-System als / proc / net / ip_conntrack.
Was kann die conntrack-Tools für mich tun?
Viele coole Dinge. conntrackd deckt die spezifischen Aspekte der Stateful Linux Firewalls, um Hochverfügbarkeitslösungen zu ermöglichen und es kann als Statistiken Kollektor des Firewall-Einsatz als auch verwendet werden. Die Befehlszeilenschnittstelle conntrack bietet eine Schnittstelle zu ergänzen, zu löschen und zu aktualisieren Flusseinträgen Liste aktuell aktive Ströme im Klartext / XML, aktuelle IPv4 NAT'ed fließt, Zähler zurücksetzen atomar, spülen Sie den Connection Tracking Tisch und überwachen Connection Tracking Veranstaltungen unter vielen andere.
Also, conntrackd bietet ein Äquivalent von OpenBSDs pfsync?
Ja. conntrackd synchronisiert die Zustände auf mehrere Replikat Firewalls, damit Sie Failover-Umgebungen mit Stateful Linux Firewalls einzusetzen. Finden Sie in der Support-Bereich für weitere Informationen. Allerdings kann conntrackd auch verwendet, um Statistiken der Stateful-Firewall Verwendung einzuziehen.
Warum verwenden Sie stattdessen das Befehlszeilentool conntrack von / proc / net / ip_conntrack?
Es gibt mehrere gute Gründe, dies zu tun. Das / proc-Schnittstelle bietet einen sehr begrenzt Schnittstelle zum Anschluss Tracking System, da können Sie nur aktuelle aktive Netzwerkströme auszugeben. Stattdessen erlaubt conntrack Sie Netzwerkflüsse, ohne ein neues iptables-Regel zu aktualisieren, zB aktualisieren Sie die conntrack Zeichen oder werfen den Connection Tracking Tabelle im XML-Format. Darüber hinaus mit dem / proc-Schnittstelle, um die Verbindung Tracking Tabelle unter sehr beschäftigt Firewalls Dump, also diejenigen mit Tonnen von Verbindungszuständen, schadet Leistung. Genauer gesagt, wird dies zu einem Problem, wenn Sie aus dem / proc-Schnittstelle abfragen, um Firewall-Statistiken zu erhalten. Außerdem bietet conntrack Verbindungsereignisse Überwachung, die eine Funktion, die das / proc-Schnittstelle bietet keine.
Kann ich conntrack etablierten TCP-Verbindungen zu schneiden?
Ja. Sie können conntrack verwenden, um eine etablierte TCP-Verbindung, ohne das Hinzufügen eines iptables-Regel zu töten. Natürlich benötigen Sie einen gesunden Stateful-Regelsatz, der ein Paket, die keine bestehenden Eintrag in der Connection Tracking Table einstimmt blockieren würden. Grundsätzlich ist die Idee besteht aus dem Entfernen den Eintrag, über das Opfer TCP-Verbindung spricht. Somit erfährt der Client eine Verbindung zu hängen. Da conntrack ist nicht von der Schicht-4-Protokoll, die Sie verwenden können, um zu töten was Schicht 4 Netzwerkfluss (UDP, SCTP, ...).

Was ist neu in dieser Pressemitteilung:

• Diese Version unterstützt den Dump der & quot; Sterben & quot; und & quot; unbestätigt & quot; Liste über ctnetlink.
• Ein Deadlock durch falsche verschachtelte Signalsperr beschlossen.

Was ist neu in der Version 1.4.0:

• Diese Version fügt den User-Space-Helfer-Infrastruktur, die den RPC-Portmapper enthält (zu NFSv3 unterstützt) und Oracle * TNS Helfer.

Was ist neu in Version 1.2.2:

• Selective Spülung für die & quot; -t & quot; und & quot; -F & quot; Befehlsoptionen implementiert wurde.
• Die Commit-Vorgang ist nun synchron.

Was ist neu in der Version 1.2.0:

• Diese Version unterstützt NAT Erwartungen, Synchronisation der Erwartung Klasse, die Namen der Helfer, und erwarten, dass Funktionen.
• Filtern nach Marke ist jetzt erlaubt.
• Beispiel-Konfigurationen für Q.931 und H.245 wurden hinzugefügt.

Was ist neu in Version 1.0.1:

• Unterstützung Marke Masken zugesetzt

Was ist neu in Version 0.9.11:

• Diese Version enthält Fehlerbehebungen angesammelt, eine Verbesserung für die Polling-Ansatz und ein paar neue Features.

Was ist neu in Version 0.9.10:

• Eine neue Option "-C" für den Befehl Zeilenschnittstelle, um die Anzahl der Einträge in den conntrack und Erwartungstabellen anzeigen.
• Interne Leistungsverbesserungen.
• Unterstützung von Multi gewidmet Links.
• Erweiterte Statistikinformationen.
• Polling (oder Batch-basiert) Synchronisation.

Was ist neu in Version 0.9.9:

• Die Filterung Unterstützung für verwandte Verbindungen aufgenommen (-L --status erwartet).
• Mehrere manpage Updates vorgenommen.
• Eine neue Nachrichtenformat wird im Replikationsprotokoll verwendet (die Abwärtskompatibilität mit früheren conntrack-Tools Mitteilungen bricht).
• Verschiedene Leistungsverbesserungen vorgenommen.
• CIDR-basierte Filterung Unterstützung wurde hinzugefügt.
• Fixes und Verbesserungen wurden in den Staat Einspritzung in den Kernel (zu begehen).
• Einige Aufräumarbeiten gemacht wurden.

Was ist neu in Version 0.9.8:

• Diese Version enthält viele Updates, Fehlerbehebungen und Verbesserungen in der Kommandozeilen-Tool und dem User-Space-Daemon.
• Ein Upgrade wird empfohlen.

Anforderungen :

• libnfnetlink
• libnetfilter_conntrack