conntrack-gereedschappen biedt een reeks van gratis software gebruikersruimte gereedschappen voor Linux waarmee systeembeheerders om te interageren met de Connection Tracking System, dat is de module die stateful packet inspection voor iptables biedt. De conntrack-tools zijn de gebruikersruimte daemon conntrackd en de command line interface conntrack.
Waarom de conntrack-tools te gebruiken?
De gebruikersruimte daemon conntrackd kan worden gebruikt om een hoge beschikbaarheid cluster-gebaseerde stateful firewalls statistieken van de stateful firewall gebruik mogelijk te maken en te verzamelen. De command line interface conntrack zorgt voor een meer flexibele interface naar de connnection volgsysteem dan / proc / net / ip_conntrack.
Wat kan de conntrack-gereedschappen voor mij doen?
Veel leuke dingen. conntrackd dekt de specifieke aspecten van stateful Linux firewalls om high availability oplossingen mogelijk te maken en het kan worden gebruikt als statistieken collector van de firewall gebruik als goed. De command line interface conntrack biedt een interface voor het toevoegen, verwijderen en updaten stroom inzendingen, een lijst van de huidige actieve stromen in plain text / XML, huidige IPv4 NAT'ed stroomt, reset tellers atomair, spoelt de verbindingen volgen tafel en monitoren verbindingen volgen gebeurtenissen onder vele andere.
Dus, conntrackd biedt een equivalent van OpenBSD's pfsync?
Ja Well. conntrackd synchroniseert de staten onder verscheidene replica firewalls, zodat u de failover opstellingen met stateful Linux firewalls kunnen implementeren. Zie de support sectie voor meer informatie. Echter, kan conntrackd ook gebruikt worden om de statistieken van de stateful firewall gebruik te verzamelen.
Waarom gebruik maken van de command-line tool conntrack plaats van / proc / net / ip_conntrack?
Er zijn verschillende goede redenen om dat te doen. De / proc-interface biedt een vrij beperkt interface naar de Connection Tracking System, omdat het alleen kunt u de huidige actieve netwerk stromen te dumpen. In plaats daarvan, conntrack kunt u de netwerkinstellingen stromen updaten zonder toevoeging van een nieuwe iptables regel, bv actualiseren van de conntrack merk, of dump de verbindingen volgen tabel in XML-formaat. Bovendien is het gebruik van de / proc interface naar de verbindingen volgen tabel dumpen onder zeer drukke firewalls, dwz die met tonnen verbinding staten, schaadt de prestaties. Concreet wordt dit een probleem als je een poll uit de / proc interface om firewall statistieken te krijgen. Ook conntrack biedt aansluiting gebeurtenissen bewaking die een functie die de / proc interface niet bieden.
Kan ik conntrack om TCP-verbindingen snijden?
Ja Well. U kunt conntrack gebruiken op een TCP-verbinding, zonder toevoeging van een iptables regel te doden. Natuurlijk moet je een gezonde stateful regelset die een pakket dat alle bestaande vermelding in de verbindingen volgen tabel niet overeenkomt zou blokkeren vereisen. Kortom, het idee bestaat uit het verwijderen van de vermelding die praat over het slachtoffer TCP-verbinding. Aldus opdrachtgever ervaart een verbinding hangen. Aangezien conntrack is niet afhankelijk van de laag 4 protocol, kunt u gebruiken om te doden wat laag 4 netwerk flow (UDP, SCTP, ...).
Wat is nieuw in deze release:
- Deze versie voegt ondersteuning toe te dumpen de & quot; sterven & quot; en & quot; onbevestigde & quot; lijst via ctnetlink.
- Een impasse te wijten aan verkeerde geneste signaal blokkeren werd opgelost.
Wat is nieuw in versie 1.4.0:
- Deze versie voegt de user-space helper infrastructuur, die de RPC portmapper omvat (naar NFSv3 ondersteunen) en Oracle * TNS helpers.
Wat is nieuw in versie 1.2.2:
- Selectieve spoeling voor de & quot; -t & quot; en & quot; -F & quot; commando-opties is geïmplementeerd.
- De plegen operatie is nu synchroon.
Wat is nieuw in versie 1.2.0:
- Deze versie ondersteunt NAT verwachtingen, synchronisatie van de verwachting klasse, helper namen, en verwachten functies.
- Filteren op merk wordt nu toegestaan.
- Voorbeeld configuraties voor Q.931 en H.245 zijn toegevoegd.
Wat is nieuw in versie 1.0.1:
- Ondersteuning voor merk maskers werd toegevoegd
Wat is nieuw in versie 0.9.11:
- Deze release bevat geaccumuleerde fixes, een verbetering voor de polling aanpak en een paar nieuwe functies.
Wat is nieuw in versie 0.9.10:
- Een nieuwe optie 'C' voor de opdracht line interface om het aantal vermeldingen in de conntrack en verwachting tabellen weer te geven.
- Interne prestatieverbeteringen.
- Ondersteuning voor multi-dedicated koppelingen.
- Uitgebreide statistieken informatie.
- Polling (of-charge gebaseerde) synchronisatie.
Wat is nieuw in versie 0.9.9:
- Het filteren van ondersteuning toegevoegd voor verwante verbindingen (-L --status VERWACHT).
- Verschillende manpage updates werden gemaakt.
- Een nieuw bericht formaat wordt gebruikt in de replicatie-protocol (die achterwaartse compatibiliteit met eerdere conntrack-instrumenten releases breekt).
- Een aantal prestatieverbeteringen werden gemaakt.
- -CIDR gebaseerde filtering ondersteuning werd toegevoegd.
- Fixes en verbeteringen aangebracht in de staat injectie om kernel (plegen).
- Verschillende opruimingen werden gemaakt.
Wat is nieuw in versie 0.9.8:
- Deze release bevat vele updates, fixes en verbeteringen in de command-line tool en de user-space daemon.
- Een upgrade is aanbevolen.
Eisen
- libnfnetlink
- libnetfilter_conntrack
Reacties niet gevonden