zxcx

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: e-Info » Linux » Firewall Linux » Conntrack
linux:firewall:conntrack

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Следующая версия 		Предыдущая версия
linux:firewall:conntrack [2022/11/19 05:09]
admin создано 		linux:firewall:conntrack [2022/11/19 05:14] (текущий)
admin
Строка 1: Строка 1:
 ====== Conntrack ====== ====== Conntrack ======
  
-Компонент [[:linux:kernel:firewall:netfilter|netfilter]], обеспечивающий отслеживание состояния соединения и классификацию пакетов по **принадлежности к соединениям**, что обеспечивает **stateful-фильтрацию**.\\+Компонент [[:linux:firewall:netfilter|netfilter]], обеспечивающий отслеживание состояния соединения и классификацию пакетов по **принадлежности к соединениям**, что обеспечивает **stateful-фильтрацию**.\\
  
-===== Сведения ===== 
  
 +
 +===== Сведения =====
 **Классифицирует каждый пакет** либо как открывающий новое соединение, либо относящийся к уже установленному. При этом, понятие "состояние соединения" искусственно вводится даже для протоколов не использующих его (UDP, ICMP).\\ **Классифицирует каждый пакет** либо как открывающий новое соединение, либо относящийся к уже установленному. При этом, понятие "состояние соединения" искусственно вводится даже для протоколов не использующих его (UDP, ICMP).\\
 **Отслеживание связанных соединений**, ICMP-ответы на TCP и UDP, FTP сессии с несколькими соединениями и т.д.\\ **Отслеживание связанных соединений**, ICMP-ответы на TCP и UDP, FTP сессии с несколькими соединениями и т.д.\\
 Механизм анализирует все пакеты, кроме помеченных **NOTRACK** в таблице **raw**, функция удобна например во время DDoS-атаки, что бы не тратить ресурсы на отслеживание с этих хостов.\\ Механизм анализирует все пакеты, кроме помеченных **NOTRACK** в таблице **raw**, функция удобна например во время DDoS-атаки, что бы не тратить ресурсы на отслеживание с этих хостов.\\
 +
 +
  
 ==== Критерий состояния соединения ==== ==== Критерий состояния соединения ====
Строка 28: Строка 31:
  
 **conntrack** пришел на замену старому критерию **state** (использование его уже не рекомендуется).\\ **conntrack** пришел на замену старому критерию **state** (использование его уже не рекомендуется).\\
 +
 +
  
 ==== Маркировка соединений ==== ==== Маркировка соединений ====
 Позволяет классифицировать соединение в целом на основании одного пакета. Маркировку автоматически приобретают все пакеты в данном соединении и связанными с ним. Позволяет классифицировать соединение в целом на основании одного пакета. Маркировку автоматически приобретают все пакеты в данном соединении и связанными с ним.
 +
 +
  
 ==== Статистика по соединениям ===== ==== Статистика по соединениям =====
 Критерий **connbytes** позволяет контролировать кол-во байт или пакетов, переданных по каждому конкретному соединению (возможность квот или приоритетов загрузки). Критерий **connbytes** позволяет контролировать кол-во байт или пакетов, переданных по каждому конкретному соединению (возможность квот или приоритетов загрузки).
 +
 +
  
 ==== Количество соединений ==== ==== Количество соединений ====
 Критерий **connlimit** позволяет ограничивать число одновременно открытых TCP-соединений с каждого хоста или подсети. Критерий **connlimit** позволяет ограничивать число одновременно открытых TCP-соединений с каждого хоста или подсети.
 +
 +
  
 ===== Модули ===== ===== Модули =====
Строка 44: Строка 55:
 Включить модуль **nf_conntrack_ftp**: Включить модуль **nf_conntrack_ftp**:
 <code bash># modprobe nf_conntrack_ftp</code> <code bash># modprobe nf_conntrack_ftp</code>
 +
  
  
 ===== Утилиты (conntrack-tools) ===== ===== Утилиты (conntrack-tools) =====
 Комплект **conntrack-tools** содержит две утилиты: Комплект **conntrack-tools** содержит две утилиты:
-  * **[[:linux:kernel:firewall:conntrack_util|conntrack]]** - позволяет наблюдать таблицы состояний соединений и взаимодействовать с ними.+  * **[[:linux:firewall:conntrack_util|conntrack]]** - позволяет наблюдать таблицы состояний соединений и взаимодействовать с ними.
   * **conntrackd** - демон, обеспечивающий синхронизацию таблиц состояний с другими хостами, используется в кластерах высокой доступности.   * **conntrackd** - демон, обеспечивающий синхронизацию таблиц состояний с другими хостами, используется в кластерах высокой доступности.
  
  
linux/firewall/conntrack.1668834597.txt.gz · Последнее изменение: 2022/11/19 05:09 — admin

Инструменты страницы

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki