Conntrack-tools oferuje zestaw narzędzi wolnego oprogramowania dla systemu Linux przestrzeni użytkownika, które pozwalają administratorom na interakcję z Connection System śledzenia, który jest modułem, który zapewnia statycznej inspekcji pakietów iptables. W Conntrack-tools są conntrackd demon przestrzeni użytkownika i interfejs Conntrack linii poleceń.
Dlaczego warto korzystać z conntrack-tools?
Demon przestrzeni użytkownika conntrackd mogą być wykorzystywane w celu umożliwienia klastrów wysokiej dostępności opartych stanowej zapory i zbierać statystyki wykorzystania stanowej zapory. Interfejs linii poleceń zapewnia Conntrack bardziej elastyczny interfejs do systemu śledzenia connnection niż / proc / net / ip_conntrack.
Co może zrobić conntrack-tools dla mnie?
Dużo fajnych rzeczy. conntrackd obejmuje specyficzne aspekty stanowych firewalli Linux, aby umożliwić rozwiązania wysokiej dostępności i może być używany jako statystyki kolektora stosowania zapory, jak również. Conntrack interfejs wiersza polecenia zapewnia interfejs do dodawania, usuwania i przepływ aktualizacja wpisów, lista aktualnych aktywnych przepływów w tekstowym / XML, płynie prąd IPv4 przejściu przez NAT, wyzerować liczniki atomowo, przepłukać tabeli śledzenia połączeń i monitorowania zdarzeń śledzenia połączeń między wieloma drugiego.
Tak, nie conntrackd stanowi równowartość pfsync OpenBSD?
Tak: D. conntrackd synchronizuje stany wśród kilku zapór replik, więc można wdrożyć ustawień przełączania awaryjnego z stanowych firewalli Linux. Zobacz dział pomocy aby uzyskać więcej informacji. Jednak conntrackd mogą być również wykorzystywane do zbierania statystyk użytkowania stanowej zapory.
Dlaczego warto korzystać z narzędzi Conntrack wiersza poleceń zamiast / proc / net / ip_conntrack?
Istnieje kilka dobrych powodów, aby to zrobić. Interfejs / proc oferuje dość ograniczony interfejs do podłączenia systemu śledzenia, ponieważ tylko pozwala zrzucić aktualne aktywne przepływów sieciowych. Zamiast Conntrack umożliwia aktualizację przepływów sieciowych bez dodawania nowej reguły iptables, np zaktualizować znak conntrack lub zrzutu tabeli śledzenia połączeń w formacie XML. Co więcej, za pomocą interfejsu / proc zrzucić tabeli śledzenia połączeń w bardzo ruchliwych zapór, czyli tych z tonami stanów połączenia, szkodzi wydajności. Konkretnie, to staje się problemem, jeśli odpytywać z interfejsu / proc, aby uzyskać statystyki zapory. Ponadto oferuje monitorowanie wydarzeń Conntrack połączeń, które funkcja interfejs / proc nie przewiduje.
Czy mogę używać Conntrack wyciąć ustanowionych połączeń TCP?
Tak: D. Możesz użyć Conntrack zabić ugruntowaną połączenie TCP bez dodawania iptables reguły. Oczywiście, wymaga rozsądny stanową zestaw reguł, które mogłyby zablokować pakiet, który nie pasuje do żadnego istniejącego wpisu w tabeli śledzenia połączeń. Zasadniczo pomysł polega na usunięciu wpisu, który mówi o związku ofiarą TCP. W ten sposób, klient doświadcza połączenia powiesić. Ponadto, ponieważ conntrack nie jest zależny od protokołu warstwy 4, można użyć do zabicia co warstwa 4 przepływu sieci (UDP, SCTP, ...).
Co nowego W tej wersji:
- Ta wersja dodaje wsparcie zrzucić & quot; umiera & quot; i & quot; niepotwierdzone & quot; Lista poprzez ctnetlink.
- zakleszczenie spowodowane niewłaściwym zagnieżdżonego blokowania sygnału został rozwiązany.
Co nowego w wersji 1.4.0:
- W tej wersji dodano infrastrukturę pomocniczą w przestrzeni użytkownika, który obejmuje portmapper RPC (wspieranie NFSv3) i Oracle * TNS pomocników.
Co nowego w wersji 1.2.2:
- Selektywne płukania dla & quot; t & quot; i & quot; -F & quot; opcje polecenia został wdrożony.
- popełnienia operacja jest teraz synchroniczne.
Co nowego w wersji 1.2.0:
- Ta wersja obsługuje NAT oczekiwania, synchronizację z oczekiwaniem klasy, nazwy pomocnicze, i oczekują funkcje.
- Filtrowanie przez znak jest obecnie niedozwolone.
- konfiguracje Przykład dla Q.931 i H.245, które zostały dodane.
Co nowego w wersji 1.0.1:
- Obsługa masek znaków dodano
Co nowego w wersji 0.9.11:
- To wydanie zawiera skumulowane poprawki, jedna dla poprawy Podejście ankietowanie i kilka nowych funkcji.
Co nowego w wersji 0.9.10:
- Nowa opcja -c polecenia Interfejs wiersza, aby wyświetlić liczbę zapisów w Conntrack i oczekiwania tabel.
- poprawa wydajności wewnętrznej.
- Wsparcie dla wielo-dedykowane łącza.
- Rozszerzona informacje statystyczne.
- Polling (lub partia-based) do synchronizacji.
Co nowego w wersji 0.9.9:
- Filtrowanie dodano wsparcie dla połączeń związanych (-L --status expected).
- Kilka aktualizacje strony podręcznika zostały wykonane.
- Nowy format wiadomości jest w protokole replikacji (które łamie zgodność z poprzednimi wersjami narzędzia Conntrack-).
- Kilka ulepszeń wydajności zostały wykonane.
- dodano wsparcie oparte CIDR filtrowanie.
- Poprawki i ulepszenia zostały dokonane w zastrzyku państwa do jądra (popełnienie).
- Kilka porządki zostały wykonane.
Co nowego w wersji 0.9.8:
- To wydanie zawiera wiele aktualizacji, poprawek i ulepszeń, w narzędzia wiersza poleceń i demona w przestrzeni użytkownika.
- Aktualizacja jest zalecana.
Wymagania :
- libnfnetlink
- libnetfilter_conntrack
Komentarze nie znaleziono