Iptables, -m রাষ্ট্র এবং -m কনট্র্যাকের মধ্যে পার্থক্য কী?

এর মধ্যে ব্যবহারিক পার্থক্য কী:

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

এবং

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

কোনটি ব্যবহার করা ভাল?

ধন্যবাদ.

উভয়ই নীচে একই কার্নেল ইন্টার্নাল ব্যবহার করে (সংযোগ ট্র্যাকিং সাবসিস্টেম)।

Xt_conntrack.c এর শিরোনাম:

xt_conntrack - Netfilter module to match connection tracking
information. (Superset of Rusty's minimalistic state match.)

সুতরাং আমি বলব - রাষ্ট্রীয় মডিউলটি সহজ (এবং সম্ভবত ত্রুটির প্রবণতা কম)। এটি কার্নেলের মধ্যেও দীর্ঘ। অন্যদিকে কনট্র্যাকের আরও বিকল্প এবং বৈশিষ্ট্য রয়েছে [1]।

আমার কলটি কনট্র্যাক ব্যবহার করতে হবে যদি এর বৈশিষ্ট্যগুলির প্রয়োজন হয় তবে অন্যথায় রাষ্ট্র মডিউলটি আটকে থাকুন।

নেটফিল্টার মাইলিস্টে অনুরূপ প্রশ্ন।

[1] "-m কনট্র্যাক --ctstate DNAT -j MASQUERADE" রাউটিং / ডিএনএটি ফিক্সআপ ;-) এর মতো বেশ কার্যকর

এই দুটি নিয়মের ফলাফলের মধ্যে কোনও পার্থক্য নেই। উভয় ম্যাচ এক্সটেনশান সংযোগ ট্র্যাকিং স্থিতির সাথে মিল রাখতে একই ডেটা ব্যবহার করে। রাজ্যটি হ'ল "পুরানো" ম্যাচ এক্সটেনশন এবং কনট্র্যাক নতুন এবং এতে সংযোগ ট্র্যাকিংয়ের অবস্থার সাথে মিল রেখে অনেক বেশি বিকল্প রয়েছে।

Iptables ডক

ডকুমেন্টেশন যেমন বলে:

কনট্র্যাক ম্যাচটি রাজ্য ম্যাচের একটি বর্ধিত সংস্করণ, যা প্যাকেটগুলিকে আরও বেশি দানাদার উপায়ে ম্যাচ করা সম্ভব করে। এটি আপনাকে সংযোগ ট্র্যাকিং সিস্টেমে কোনও "ফ্রন্টএন্ড" সিস্টেম ছাড়াই সরাসরি পাওয়া তথ্যের দিকে নজর দেওয়া যাক, যেমন রাজ্য ম্যাচের মতো। সংযোগ ট্র্যাকিং সিস্টেম সম্পর্কে আরও তথ্যের জন্য, স্টেট মেশিন অধ্যায়টি দেখুন।