Iproute2ツールとconntrackツール
ネットワークのファイアウォール/ゲートウェイとして設定されているLinuxボックスがあります。なぜssや他のiproute2ツールがiptablesconntrackよりもはるかに少ないのか疑問に思っていました。ルーター機能がカーネルでのみ発生しているからですか?
ss -na
確立された2つの接続のみを表示します。
conntrack -L -n
18の確立された接続を表示します。
ssおよびnetstatは、そのホストで終了した接続を示します。つまり、ホスト上のプロセスによって作成された発信接続、またはホスト上のプロセスによって処理された着信接続のいずれかです。 (技術的には、これらはソケットを示します。)conntrackは、接続追跡システムによって認識されている接続を示します。これには、そのホストによってルーティングされているが終了されていない接続が含まれます。 (ルーティングされている接続のみのソケットは存在しません。)