zxcx

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: e-Info » Linux » Firewall Linux » Conntrack
linux:firewall:conntrack

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
linux:firewall:conntrack [2022/11/19 05:11]
admin 		linux:firewall:conntrack [2022/11/19 05:14] (текущий)
admin
Строка 2: Строка 2:
  
 Компонент [[:linux:firewall:netfilter|netfilter]], обеспечивающий отслеживание состояния соединения и классификацию пакетов по **принадлежности к соединениям**, что обеспечивает **stateful-фильтрацию**.\\ Компонент [[:linux:firewall:netfilter|netfilter]], обеспечивающий отслеживание состояния соединения и классификацию пакетов по **принадлежности к соединениям**, что обеспечивает **stateful-фильтрацию**.\\
 +
  
  
Строка 8: Строка 9:
 **Отслеживание связанных соединений**, ICMP-ответы на TCP и UDP, FTP сессии с несколькими соединениями и т.д.\\ **Отслеживание связанных соединений**, ICMP-ответы на TCP и UDP, FTP сессии с несколькими соединениями и т.д.\\
 Механизм анализирует все пакеты, кроме помеченных **NOTRACK** в таблице **raw**, функция удобна например во время DDoS-атаки, что бы не тратить ресурсы на отслеживание с этих хостов.\\ Механизм анализирует все пакеты, кроме помеченных **NOTRACK** в таблице **raw**, функция удобна например во время DDoS-атаки, что бы не тратить ресурсы на отслеживание с этих хостов.\\
 +
  
  
Строка 29: Строка 31:
  
 **conntrack** пришел на замену старому критерию **state** (использование его уже не рекомендуется).\\ **conntrack** пришел на замену старому критерию **state** (использование его уже не рекомендуется).\\
 +
  
  
 ==== Маркировка соединений ==== ==== Маркировка соединений ====
 Позволяет классифицировать соединение в целом на основании одного пакета. Маркировку автоматически приобретают все пакеты в данном соединении и связанными с ним. Позволяет классифицировать соединение в целом на основании одного пакета. Маркировку автоматически приобретают все пакеты в данном соединении и связанными с ним.
 +
  
  
 ==== Статистика по соединениям ===== ==== Статистика по соединениям =====
 Критерий **connbytes** позволяет контролировать кол-во байт или пакетов, переданных по каждому конкретному соединению (возможность квот или приоритетов загрузки). Критерий **connbytes** позволяет контролировать кол-во байт или пакетов, переданных по каждому конкретному соединению (возможность квот или приоритетов загрузки).
 +
  
  
 ==== Количество соединений ==== ==== Количество соединений ====
 Критерий **connlimit** позволяет ограничивать число одновременно открытых TCP-соединений с каждого хоста или подсети. Критерий **connlimit** позволяет ограничивать число одновременно открытых TCP-соединений с каждого хоста или подсети.
 +
  
  
Строка 49: Строка 55:
 Включить модуль **nf_conntrack_ftp**: Включить модуль **nf_conntrack_ftp**:
 <code bash># modprobe nf_conntrack_ftp</code> <code bash># modprobe nf_conntrack_ftp</code>
 +
  
  
linux/firewall/conntrack.1668834663.txt.gz · Последнее изменение: 2022/11/19 05:11 — admin

Инструменты страницы

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki