Iptables "state" এবং "ctstate" এর মধ্যে পার্থক্য কি?

আমি এই iptables স্নিপেট একটি ভিন্ন সুপার ব্যবহারকারীর উত্তর দেখেছি:

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

বিন্দু সবসময় একটি প্রতিষ্ঠিত সংযোগের অংশ হিসাবে প্রেরিত প্যাকেট অনুমতি দেয়। যে অংশটি সম্পর্কে আমি অবাক হচ্ছি তা শীর্ষ দুই লাইন।

জন্য INPUT চেইন, উভয় লেখার বিন্দু কি -m conntrack --ctstate RELATED,ESTABLISHED এবং -m state --state RELATED,ESTABLISHED। এটা কি একই জিনিস করা উচিত বলে মনে হচ্ছে?

এই দুটি মধ্যে পার্থক্য একটি ব্যাখ্যা মহান হতে হবে।

প্রধান উত্তর:

Conntrack রহিত করে state, কিন্তু আধুনিক কার্নেলের মধ্যে এখন দুটি মধ্যে কোন পার্থক্য নেই। State বর্তমানে aliased এবং অনুবাদ করা হয় conntrack iptables এ যদি কার্নেল থাকে, তাই সিনট্যাক্স -m state --state আসলে অনুবাদ করা হয় -m conntrack --ctstate এবং একই মডিউল দ্বারা পরিচালিত।

কিছু পুরানো কার্নেলগুলিতে, তবে, কনট্যাকটি বিশেষভাবে সক্ষম করা আছে।

সম্ভাব্য ব্যাখ্যা:

মনে হচ্ছে যে আপনি যে নিয়মগুলি উদ্ধৃত করেছেন তার মধ্যে সদৃশ অন্তর্ভুক্ত রয়েছে, পুরানো এবং নতুন কার্নেল উভয় জন্য ক্যাটারিং।

অথবা হয়তো এই মাত্র একটি ক্ষেত্রে কারগো সংস্কৃতি প্রোগ্রামিং ।

এখানে সার্ভারফ্ট এই প্রশ্ন ২01২ সাল থেকে:

মধ্যে বাস্তব পার্থক্য কি:

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

এবং

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

কোনটি ব্যবহার করা সেরা?

দ্য গৃহীত উত্তর হল:

উভয় নীচে একই কার্নেল অভ্যন্তরীণ ব্যবহার (সংযোগ ট্র্যাকিং   সাব-সিস্টেম)।

এর হেডার xt_conntrack.c:

xt_conntrack - Netfilter module to match connection tracking
information. (Superset of Rusty's minimalistic state match.)

তাই আমি বলতে চাই - রাষ্ট্র মডিউল সহজ (এবং সম্ভবত কম ত্রুটি   প্রবণ)। এটা কার্নেল মধ্যে আর। অন্য দিকে Conntrack আছে   আরো বিকল্প এবং বৈশিষ্ট্য [1]।

আমার কল ব্যবহার করা হয় conntrack যদি আপনি এটি এর বৈশিষ্ট্য প্রয়োজন, অন্যথায় লাঠি   রাষ্ট্র মডিউল সঙ্গে।

Netfilter একই প্রশ্ন   maillist।

[1] মত বেশ দরকারী -m conntrack --ctstate DNAT -j MASQUERADE" routing/DNAT fixup ;-)

অন্যান্য উত্তর এক এই বাড়ে সম্পর্কে নথি iptables। এটা বলে:

দ্য conntrack ম্যাচ একটি বর্ধিত সংস্করণ state ম্যাচ, যা অনেক বেশি গোলাপী পদ্ধতিতে প্যাকেটগুলি মিলিয়ে সম্ভব করে তোলে। এটি আপনাকে যে কোনও "ফ্রন্টেন্ড" সিস্টেমগুলির মতো, সংযোগের ট্র্যাকিং সিস্টেমে সরাসরি উপলব্ধ তথ্যটি দেখতে দেয় state ম্যাচ.

তাই আমি মনে করি এটি সত্য (এখনও অন্য উত্তর থেকে):

সেই দুটি নিয়মগুলির ফলাফলের মধ্যে কোন পার্থক্য নেই।

উল্লেখ্য, এই প্রশ্নে একটি মজার মন্তব্য রয়েছে:

state পক্ষে অপ্রচলিত হয় conntrack, এবং আপনার কার্নেলটি কিভাবে নির্মিত হয়েছিল তার উপর ভিত্তি করে সংকলিত হতে পারে বা নাও হতে পারে।