什么是連接跟蹤
作者:佚名 時間:2012-12-03 分享到:
通常,在iptables防火墻的配置都是意向的,例如,防火墻僅在input鏈允許主機訪問谷歌站點,這時,請求數據包能夠正常發送到谷歌服務器,但是,當服務器的回應數據包抵達時,因為沒有配置允許的策略,則這個數據包將會被丟棄,無法寄賣整個通信過程,所以配置iptables時需要配置出站,入站規則,這無疑增大了配置的復雜度,實際上,連接跟蹤能夠簡化這個操作.
連接跟蹤領先數據包中的特殊標記,對連接狀態"state"進行檢測,netfilter能夠根據狀態決定數據包的關聯,或者分析每個進程對應數據包的關系,決定數據包的具體操作,連接跟蹤支持tcp和udp通信,更加適用于數據包的交換.
連接跟蹤通常會提高通信的效率,因為對于一個已經建立好的連接,剩余的通信數據包將不再需要接受鏈中規則的檢查,這將有效縮短iptables的處理時間,當然,連接跟蹤需要占用更多的內存.
連接跟蹤存在4種數據包的狀態,如下所示:
new:想要新建立連接的數據包;
invalid:無效的數據包,例如損壞或者不完整的數據包;
established:已經建立連接的數據包;
related:與已經發送的數據包有關的數據包,例如,建立連接后后發送的數據包或者對方返回的響應數據包,同時使用這個狀態進行設定,簡化iptables的配置操作.
如沒特殊注明,文章均為上海聯楷網絡原創,轉載請注明來自:http://www.ktcbnqb.cn/hynews/20151126/n2636.html
