「iptables」の「conntrack」拡張についての混乱
iptables-extensions manpageconntrack拡張子(私の強調)についてこう言っています:
このモジュールは、combinedwith connection Tracking 、このパケット/接続の接続追跡状態へのアクセスを許可します。
conntrackis接続追跡だと思いましたか?
マンページに「接続追跡と組み合わせて」と記載されているのはなぜですか。
conntrackが接続追跡ではない場合、それは何ですか?
「その他の」接続追跡とは何ですか?それはどこから来るのでしょうか?
接続追跡では、ある接続が別の接続に関連しているかどうかなど、追跡された接続に関する情報がすでに記録されています(たとえば、新しいFTP DATA接続が別のポートにある場合でも既存のFTPセッションに関連しています)。
conntrack iptables拡張機能は、たとえばこれらの関連する接続を許可することにより、追跡された状態に一致させるためにiptablesルールで使用できる追加の基準を提供します。
conntrack拡張子を使用しない場合でも、接続はカーネルによって追跡されます(適切なカーネルモジュールがロードされている場合)が、iptablesルールによって検査されないため、その追跡情報は使用されません。 。
基本的に、接続追跡システム全体は2つに分割されます。実際の追跡を行うカーネルのビットと、カーネルからの追跡情報を調べて特定のパケットを許可するかどうかを決定するiptablesのビットです。
これは少し単純化したものですが、一般的な用語で説明できれば幸いです。