Repository 32bit  Forum
Repository 64bit  Wiki

iptables ( -m state ) vs (-m conntrack)

Postate qui per tutte le discussioni legate a Linux in generale.

Moderatore: Staff

Regole del forum
1) Citare sempre la versione di Slackware usata, la versione del Kernel e magari anche la versione della libreria coinvolta. Questi dati aiutano le persone che possono rispondere.
2) Per evitare confusione prego inserire in questo forum solo topic che riguardano appunto Gnu/Linux in genere, se l'argomento è specifico alla Slackware usate uno dei forum Slackware o Slackware64.
3) Leggere attentamente le risposte ricevute
4) Scrivere i messaggi con il colore di default, evitare altri colori.
5) Scrivere in Italiano o in Inglese, se possibile grammaticalmente corretto, evitate stili di scrittura poco chiari, quindi nessuna abbreviazione tipo telegramma o scrittura stile SMS o CHAT.
6) Appena registrati è consigliato presentarsi nel forum dedicato.

La non osservanza delle regole porta a provvedimenti di vari tipo da parte dello staff, in particolare la non osservanza della regola 5 porta alla cancellazione del post e alla segnalazione dell'utente. In caso di recidività l'utente rischia il ban temporaneo.

iptables ( -m state ) vs (-m conntrack)

Messaggioda razziatore » dom mar 11, 2012 12:06

Qualcuno sa dirmi qual'è la differenza queste due regole:

iptables -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

dal man sembra che facciano essattamente la stessa cosa :?
Quale bisognerebbe usare? Ho cercato su google ma non ho trovato nulla...
razziatore
Linux 1.0
Linux 1.0
 
Messaggi: 41
Iscritto il: ven mar 02, 2012 10:22

Re: iptables ( -m state ) vs (-m conntrack)

Messaggioda ocman » dom mar 11, 2012 13:32

razziatore ha scritto:iptables -m state --state ESTABLISHED,RELATED -j ACCEPT

questo flag utilizza il matcher generico di netfilter, sempre basato sul modulo conntrack, ma che può essere utilizzato soprattutto per le catene di INPUT e OUTPUT

│ CONFIG_NETFILTER_XT_MATCH_STATE: │
│ │
│ Connection state matching allows you to match packets based on their │
│ relationship to a tracked connection (ie. previous packets). This │
│ is a powerful tool for packet classification. │
│ │
│ To compile it as a module, choose M here. If unsure, say N. │
│ │
│ Symbol: NETFILTER_XT_MATCH_STATE [=y] │
│ Type : tristate │
│ Prompt: "state" match support │
│ Defined at net/netfilter/Kconfig:1010 │
│ Depends on: NET [=y] && INET [=y] && NETFILTER [=y] && NETFILTER_XTABLES [=y] && NF_CONNTRACK [=y] │
│ Location: │
│ -> Networking support (NET [=y]) │
│ -> Networking options │
│ -> Network packet filtering framework (Netfilter) (NETFILTER [=y]) │
│ -> Core Netfilter Configuration │
│ -> Netfilter Xtables support (required for ip_tables) (NETFILTER_XTABLES [=y])




razziatore ha scritto:iptables -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT


questo flag utilizza una delle tante sottofunzioni del modulo conntrack (ctstate) e ne eredita quindi tutte le funzionalità

│ CONFIG_NETFILTER_XT_MATCH_CONNTRACK: │
│ │
│ This is a general conntrack match module, a superset of the state match. │
│ │
│ It allows matching on additional conntrack information, which is │
│ useful in complex configurations, such as NAT gateways with multiple │
│ internet links or tunnels. │
│ │
│ To compile it as a module, choose M here. If unsure, say N. │
│ │
│ Symbol: NETFILTER_XT_MATCH_CONNTRACK [=y] │
│ Type : tristate │
│ Prompt: "conntrack" connection tracking match support │
│ Defined at net/netfilter/Kconfig:715 │
│ Depends on: NET [=y] && INET [=y] && NETFILTER [=y] && NETFILTER_XTABLES [=y] && NF_CONNTRACK [=y] │
│ Location: │
│ -> Networking support (NET [=y]) │
│ -> Networking options │
│ -> Network packet filtering framework (Netfilter) (NETFILTER [=y]) │
│ -> Core Netfilter Configuration │
│ -> Netfilter Xtables support (required for ip_tables) (NETFILTER_XTABLES [=y])


la differenza concreta, quindi, è che col secondo puoi fare matching di traffico in modo più avanzato (su "NAT gateways with multiple internet links or tunnels"), associandolo e sfruttando tutti i flag relativi al modulo conntrack
ocman
Linux 2.4
Linux 2.4
 
Messaggi: 239
Iscritto il: gio lug 31, 2008 17:18
Slackware: ArchLinux
Desktop: xfce
Distribuzione: OpenIndiana

Re: iptables ( -m state ) vs (-m conntrack)

Messaggioda razziatore » dom mar 11, 2012 15:16

Quindi mi consigli di usare conntrack e tanti saluti a state o per cose "semplici" usare state e per cose "avanzate" conntrack?
razziatore
Linux 1.0
Linux 1.0
 
Messaggi: 41
Iscritto il: ven mar 02, 2012 10:22

Re: iptables ( -m state ) vs (-m conntrack)

Messaggioda ocman » dom mar 11, 2012 18:25

la seconda. comunque si impara vedendo come gli altri li usano
http://www.frozentux.net/iptables-tutor ... orial.html
ocman
Linux 2.4
Linux 2.4
 
Messaggi: 239
Iscritto il: gio lug 31, 2008 17:18
Slackware: ArchLinux
Desktop: xfce
Distribuzione: OpenIndiana

Re: iptables ( -m state ) vs (-m conntrack)

Messaggioda razziatore » dom mar 11, 2012 23:21

Grazie :)
razziatore
Linux 1.0
Linux 1.0
 
Messaggi: 41
Iscritto il: ven mar 02, 2012 10:22


Torna a Gnu/Linux in genere

Chi c’è in linea

Visitano il forum: darkstaring e 4 ospiti