什么是连接跟踪
作者:佚名 时间:2012-12-03
通常,在iptables防火墙的配置都是意向的,例如,防火墙仅在input链允许主机访问谷歌站点,这时,请求数据包能够正常发送到谷歌服务器,但是,当服务器的回应数据包抵达时,因为没有配置允许的策略,则这个数据包将会被丢弃,无法寄卖整个通信过程,所以配置iptables时需要配置出站,入站规则,这无疑增大了配置的复杂度,实际上,连接跟踪能够简化这个操作.
连接跟踪领先数据包中的特殊标记,对连接状态"state"进行检测,netfilter能够根据状态决定数据包的关联,或者分析每个进程对应数据包的关系,决定数据包的具体操作,连接跟踪支持tcp和udp通信,更加适用于数据包的交换.
连接跟踪通常会提高通信的效率,因为对于一个已经建立好的连接,剩余的通信数据包将不再需要接受链中规则的检查,这将有效缩短iptables的处理时间,当然,连接跟踪需要占用更多的内存.
连接跟踪存在4种数据包的状态,如下所示:
new:想要新建立连接的数据包;
invalid:无效的数据包,例如损坏或者不完整的数据包;
established:已经建立连接的数据包;
related:与已经发送的数据包有关的数据包,例如,建立连接后后发送的数据包或者对方返回的响应数据包,同时使用这个状态进行设定,简化iptables的配置操作.
如没特殊注明,文章均为上海联楷网络原创,转载请注明来自:http://www.linksj.com/hynews/20151126/n2636.html
