conntrack-tools

接続追跡ツールは、システム管理者はiptablesのためのステートフルパケットインスペクションを提供するモジュールであるコネクショントラッキングと相互作用することができるようにLinux用のフリーソフトウェアのユーザ空間ツールのセットを提供しています。接続追跡ツールは、ユーザ空間デ​​ーモンconntrackdとコマンドラインインタフェースconntrackのである。
の接続追跡ツールを使用するのはなぜ？の
ユーザ空間デ​​ーモンconntrackdは、高可用性クラスタベースのステートフルファイアウォールを有効にし、ステートフルファイアウォール使用の統計を収集するために使用することができます。コマンドラインインターフェースのconntrackのはは/ proc /ネット/ ip_conntrackのよりconnnection追跡システムへのより柔軟なインタフェースを提供します。
の私のために接続追跡ツールを行うことができますか？の
クールなものがたくさん。 conntrackdは、高可用性ソリューションを有効にするには、ステートフルLinuxのファイアウォールの特定の側面をカバーし、それは同様に、ファイアウォールの使用の統計情報コレクタとして使用することができます。コマンドラインインターフェースのconntrackのは、追加、削除および更新フローエントリ、プレーンテキスト/ XMLで現在アクティブなフローをリスト、現在のIPv4 NATによるフロー、アトミックにカウンタをリセット、コネクション追跡テーブルをフラッシュし、多くの間の接続追跡イベントを監視するためのインタフェースを提供しますその他。
<強い>だから、conntrackdは、OpenBSDのはpfsyncと同等のものを提供していますか？の
はい。ステートフルLinuxのファイアウォールを使用して、フェールオーバーセットアップを展開することができますので、conntrackdは、いくつかのレプリカのファイアウォール間の状態を同期させます。詳細については、サポートセクションを参照してください。しかし、conntrackdもステートフル·ファイアウォールの使用の統計を収集するために使用することができる。
の代わりに、コマンドラインツールのconntrackのを使用する理由のは、/ proc /ネット/ ip_conntrackの？の
そうするには、いくつかの理由があります。それは、現在アクティブなネットワーク·フローをダンプすることを可能にするので、/ procのインタフェースは、コネクショントラッキングにかなり制限されたインターフェイスを提供しています。その代わり、conntrackのは例えば、あなたが新しいiptablesのルールを追加することなく、ネットワーク·フローを更新することができますconntrackのマークを更新、またはXML形式でコネクショントラッキングテーブルをダンプします。また、非常に忙しいファイアウォールの下でコネクショントラッキングテーブルをダンプするの/ procインタフェースを使用して、接続状態のトンとそれらつまり、パフォーマンスに害を与える。ファイアウォールの統計情報を取得するためには、/ procインタフェースからポーリングした場合具体的には、これが問題となる。また、conntrackのは、この機能が/ procのインタフェースが用意されていません接続イベントの監視を提供しています。
の私は、確立されたTCP接続を切断するためにconntrackのを使用することはできますか？の
はい。あなたは、iptablesのルールを追加することなく、確立されたTCP接続を殺すためにconntrackのを使用することができます。もちろん、あなたが接続追跡表内の既存のエントリと一致しないパケットをブロックするSANEステートフルルールセットを必要とする。基本的には、アイデアは、被害者のTCP接続について語ってエントリを削除で構成されています。このため、クライアントは接続がハング経験する。 conntrackのは、レイヤ4プロトコルの依存しないので、あなたはどのような層4ネットワークフロー（UDP、SCTP、...）殺すために使用することができます。

の新機能のこのリリースでは：

• このバージョンでは、＆QUOTダンプするサポート追加します。死ん＆QUOT。そして＆QUOT、未確認＆QUOT。 ctnetlink経由リストます。
• により誤ったネストされた信号ブロックにデッドロックを解決したします。

のバージョン1.4.0にの新機能：このバージョンはユーザー空間のヘルパーインフラを追加します。

• 、そのRPCポートマッパー（NFSv3のをサポートするため）とOracle * TNSヘルパーが含まれます。

のバージョン1.2.2でのの新機能です。＆QUOTのための選択のフラッシング

• ; -t＆QUOT。そして＆QUOT、-F＆QUOT。コマンドオプションが実装されています。
• コミット操作は現在同期してます。

のバージョン1.2.0でのの新機能：

• このバージョンでは、NATの期待をサポートし、期待の同期クラス、ヘルパー名、および関数を期待します。
• マークによるフィルタリングは、現在許可されます。

Q.931およびH.245のために
• 例の構成が追加されています。

のどのバージョン1.0.1にの新しいです：マークマスクの

• サポートが追加されました。

のバージョン0.9.11のの新機能：

• このリリースは累積修正、のための1つの改良が含まれてポーリングアプローチと新機能のいくつます。

コマンドの新しい「-C 'オプション

のバージョン0.9.10のの新機能であるライン·インタフェースがconntrackのと期待テーブルのエントリ数を表示するようにします。

• 内部パフォーマンス向上します。
• マルチ専用リンクをサポートします。
• 拡張統計情報ます。
• ポーリング（またはバッチベース）の同期します。

のバージョン0.9.9でのの新機能：

• のサポートは、関連する接続のために追加されたフィルタリング（-L --status）期待します。
• いくつかのmanページの更新が行われた。
• 新しいメッセージ·フォーマットは、（前の接続追跡ツールのリリースとの下位互換性を壊す）複製プロトコルで使用されます。
• いくつかのパフォーマンスの改善が行われました。
• CIDRベースのフィルタリングのサポートが追加されました。
• の修正と改良が（コミット）カーネル状態注射で行われた。
• いくつかのクリーンアップが行われました。

のバージョン0.9.8でのの新機能は次のとおりです。

• このリリースでは、多数の更新、修正、改良が含まれコマンドラインツールとユーザー空間デーモンでます。
• のアップグレードを推奨します。

の要件の

• libnfnetlinkます。
• libnetfilter_conntrackます。