conntrack-tools

conntrack-tools ofrece un conjunto de herramientas de usuario de software libre para Linux que permiten a los administradores del sistema para interactuar con el sistema de seguimiento de conexión, que es el módulo que ofrece la inspección de estado de paquetes de iptables. Los conntrack-herramientas son el demonio de espacio de usuario conntrackd y la interfaz de línea de comandos conntrack.
¿Por qué utilizar los conntrack-tools?
El conntrackd demonio de espacio de usuario se puede utilizar para permitir alta disponibilidad grupo basado en firewalls y recoger estadísticas de uso stateful firewall. La interfaz de línea de comandos conntrack ofrece una interfaz más flexible para el sistema de seguimiento connnection de / proc / net / ip_conntrack.
¿Qué puede hacer las conntrack-tools para mí?
Un montón de cosas interesantes. conntrackd cubre los aspectos específicos de cortafuegos de Linux con estado para permitir soluciones de alta disponibilidad y puede ser usado como recolector de estadísticas de la utilización de cortafuegos también. El conntrack interfaz de línea de comandos proporciona una interfaz para añadir, eliminar y entradas de flujo de actualización, la lista de flujos activos actuales en texto plano / XML, fluye corriente IPv4 NAT'ed, restablezca automáticamente los contadores, lave la tabla de seguimiento de conexiones y supervisar los eventos de seguimiento de conexión entre muchos otra.
Así que, ¿conntrackd proporciona un equivalente de pfsync de OpenBSD?
Sí. conntrackd sincroniza los estados entre varios servidores de seguridad de réplica, para que pueda desplegar configuraciones de conmutación por error con los cortafuegos de Linux con estado. Ver la sección de asistencia para obtener más información. Sin embargo, conntrackd puede también ser utilizado para recoger estadísticas de la utilización cortafuegos de estado.
¿Por qué utilizar la herramienta de seguimiento de conexiones de línea de comandos en lugar de / proc / net / ip_conntrack?
Hay varias buenas razones para hacerlo. La interfaz / proc ofrece una interfaz bastante limitado para el Sistema de Seguimiento de conexión, ya que sólo le permite volcar los flujos actuales de red activas. En cambio, conntrack le permite actualizar los flujos de red sin añadir una nueva regla iptables, por ejemplo, actualizar la marca conntrack, o volcar la mesa de seguimiento de conexiones en formato XML. Por otra parte, el uso de la interfaz / proc para volcar la mesa de seguimiento de conexiones bajo firewalls muy ocupados, es decir, aquellos con toneladas de estados de conexión, perjudica el rendimiento. En concreto, esto se convierte en un problema si usted sondea desde la interfaz / proc para obtener estadísticas de firewall. También, conntrack ofrece eventos de conexión de control que una característica que la interfaz / proc no proporciona.
¿Puedo utilizar conntrack para cortar las conexiones TCP establecidas?
Sí. Puede utilizar conntrack para matar una conexión TCP establecida sin añadir una regla de iptables. Por supuesto, se necesita un conjunto de reglas con estado cuerdo que bloquearía un paquete que no coincide con ninguna entrada existente en la tabla de seguimiento de conexiones. Básicamente, la idea consiste en retirar la entrada que habla de la conexión TCP víctima. Por lo tanto, el cliente experimenta una conexión de colgar. Además, dado que conntrack no depende del protocolo de la capa 4, se puede utilizar para matar a cualquiera que sea la capa 4 de flujo de red (UDP, SCTP, ...).

¿Qué hay de nuevo en esta versión:

• Esta versión añade soporte para volcar el & quot; morir & quot; y & quot; no confirmada & quot; lista a través ctnetlink.
• Un punto muerto debido al mal bloqueo de señal anidada se resolvió.

¿Cuál es nuevo en la versión 1.4.0:

• Esta versión añade la infraestructura ayudante de espacio de usuario, que incluye el asignador de puertos RPC (para apoyar NFSv3) y Oracle * TNS ayudantes.

¿Qué hay de nuevo en la versión 1.2.2:

• rubor selectivo para el & quot; -t & quot; y & quot; -F & quot; opciones de comando se ha implementado.
• La operación de confirmación es ahora síncrona.

¿Qué hay de nuevo en la versión 1.2.0:

• Esta versión es compatible con las expectativas de NAT, la sincronización de la expectativa funciones de clase, nombres de ayuda, y esperar.
• Filtrado por marca está permitido.

Se han añadido
• Configuraciones de ejemplo para Q.931 y H.245.

¿Cuál es nuevo en la versión 1.0.1:

• Se agregó el soporte para las máscaras de marca

¿Qué hay de nuevo en la versión 0.9.11:

• Esta versión incluye correcciones acumuladas, una mejora para el enfoque de votación y un par de nuevas características.

¿Qué hay de nuevo en la versión 0.9.10:

• Una nueva opción 'C' para el comando interfaz de línea para visualizar el número de entradas en las tablas conntrack y expectativa.
• mejoras de rendimiento interno.
• Soporte para enlaces multi-dedicado.
• Información estadística extendida.
• Polling (o por lotes basado) de sincronización.

¿Qué hay de nuevo en la versión 0.9.9:

• Se ha añadido soporte para el filtrado de conexiones relacionadas (-L --status ESPERADO).
• Se hicieron varios cambios página de manual.
• Un nuevo formato de mensaje se utiliza en el protocolo de replicación (que rompe la compatibilidad con anteriores conntrack-tools lanzamientos).
• Se hicieron varias mejoras de rendimiento.
• Se ha añadido soporte filtrado basado en CIDR.
• Correcciones y mejoras se hicieron en la inyección estado del kernel (cometer).
• Se hicieron varias limpiezas.

¿Qué hay de nuevo en la versión 0.9.8:

• Esta versión incluye muchas actualizaciones, correcciones y mejoras en la herramienta de línea de comandos y el demonio de espacio de usuario.
• Se recomienda actualización.

Requisitos :

• libnfnetlink
• libnetfilter_conntrack