-M কনট্র্যাক --ctstate এবং -m অবস্থা - স্টেটের মধ্যে পার্থক্য কী

আমি পড়া করছি এই হাওটুর, এবং কিছু ভালো আছে:

আমরা প্রতিষ্ঠিত সেশনগুলি ট্র্যাফিক গ্রহণের অনুমতি দিতে পারি:

$ sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

উপরোক্ত নিয়মটি ESTABLISHED, RELATED এ কমাটির উভয় পাশে নেই

উপরের লাইনটি যদি কাজ না করে, আপনি এমন কাস্ট্রেড ভিপিএসে থাকতে পারেন যার সরবরাহকারী এক্সটেনশনটি সরবরাহ করেন নি, সেক্ষেত্রে নিকৃষ্ট সংস্করণটি সর্বশেষ অবলম্বন হিসাবে ব্যবহার করা যেতে পারে:

$ sudo iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-m conntrack --ctstateএবং এর মধ্যে কাজ করার ক্ষেত্রে কি উল্লেখযোগ্য পার্থক্য রয়েছে -m state --state? তারা বলে যে কেউ কাজ নাও করতে পারে তবে তারা কেন তা বলে না। আমি কেন অন্যটির চেয়ে বেশি পছন্দ করব?

আমি বিধিবিজ্ঞানের বিশেষজ্ঞ হিসাবে দাবি করি না iptablesতবে প্রথম কমান্ডটি সংযোগ ট্র্যাকিং এক্সটেনশন ( conntrack) ব্যবহার করছে যখন দ্বিতীয়টি stateএক্সটেনশনটি ব্যবহার করছে ।

ডেটা পয়েন্ট # 1

মতে এই দস্তাবেজটিconntrack এক্সটেনশন ছাপিয়ে state।

 Obsolete extensions:
  • -m state: replaced by -m conntrack

ডেটা পয়েন্ট # 2

তবুও আমি এই এসএফ প্রশ্নোত্তর খুঁজে পেয়েছি: রাষ্ট্র এবং নীতি সম্পর্কে ফায়ারওয়াল প্রশ্ন? যেখানে ওপি দাবি করেছে যে # আইপিটিবেল @ ফ্রিনোডে আইআরসি-তে এই প্রশ্ন জিজ্ঞাসা করা হয়েছে। সেখানে আলোচনা করার পরে তিনি এই সিদ্ধান্তে পৌঁছেছেন যে:

প্রযুক্তিগতভাবে কনট্র্যাক ম্যাচ সুপারসিডস - এবং তাই অপ্রচলিত - রাষ্ট্রের ম্যাচ। তবে কার্যত রাষ্ট্রীয় ম্যাচটি কোনওভাবেই অচল নয়।

ডেটা পয়েন্ট # 3

শেষ পর্যন্ত আমি এই এসএফ প্রশ্নোত্তর শিরোনাম পেয়েছি: Iptables, -m রাজ্য এবং -m কনট্র্যাকের মধ্যে পার্থক্য কী? । এই প্রশ্নের উত্তর সম্ভবত শ্রেষ্ঠ প্রমাণ এবং কিভাবে ব্যবহার দেখতে পরামর্শ হয় conntrackএবং state।

উদ্ধৃতাংশ

উভয়ই নীচে একই কার্নেল ইন্টার্নাল ব্যবহার করে (সংযোগ ট্র্যাকিং সাবসিস্টেম)।

Xt_conntrack.c এর শিরোনাম:

xt_conntrack - Netfilter module to match connection tracking
information. (Superset of Rusty's minimalistic state match.)

সুতরাং আমি বলব - রাষ্ট্রীয় মডিউলটি সহজ (এবং সম্ভবত ত্রুটির প্রবণতা কম)। এটি কার্নেলের মধ্যেও দীর্ঘ। অন্যদিকে কনট্র্যাকের আরও বিকল্প এবং বৈশিষ্ট্য রয়েছে _[1] ।

আমার কলটি কনট্র্যাকটি ব্যবহার করা যদি এটির বৈশিষ্ট্যগুলির প্রয়োজন হয় তবে অন্যথায় রাষ্ট্র মডিউলটি আটকে দিন।

• নেটফিল্টার মাইলিস্টে অনুরূপ প্রশ্ন।

[1]"-m conntrack --ctstate DNAT -j MASQUERADE" রাউটিং / ডিএনএটি ফিক্সআপ ;-) এর মতো বেশ কার্যকর

ডেটা পয়েন্ট # 4

নেটফিল্টার @vger.kernel.org নেটফিল্ট / iptables আলোচনা থেকে আমি এই থ্রেডটি পেয়েছি, শিরোনাম: স্টেট ম্যাচটি অপ্রচলিত ১.৪.১ pretty , যা বেশ কিছুটা বলে যে stateএটি কেবল একটি উপনাম conntrackতাই আপনি যা ব্যবহার করেন তা আসলেই কিছু যায় আসে না in উভয় পরিস্থিতিতে আপনি ব্যবহার করছেন conntrack।

উদ্ধৃতাংশ

আসলে, আমি একমত হতে হবে। আমরা কেন "রাষ্ট্র" কে একটি উপাধি হিসাবে রাখি না এবং "কনট্র্যাক" -র পুরানো বাক্য গঠনটি গ্রহণ করি না?

রাষ্ট্রটি বর্তমানে aliised করা হয়েছে এবং কার্নেল থাকলে এটি iptables এ কনট্র্যাক অনুবাদ করা হয়। কোনও স্ক্রিপ্ট নষ্ট হয়নি।

যদি এলিয়াসিং ব্যবহারকারীর জায়গায় করা হয় তবে কার্নেলের অংশটি সরানো যেতে পারে - কোনও দিন সম্ভবত।

এলিয়াসিং ইতিমধ্যে ইউজারস্পেসে সম্পন্ন হয়েছে। "স্টেট" এ এক ধরণের এবং এটি "কনট্র্যাক" এ রূপান্তরিত হয় এবং এটি তখন কার্নেলে প্রেরণ করা হয়। (যতদূর আমি দেখতে পেলাম ipt_state, ইত্যাদি মডিউল উপকরণ কনট্র্যাক মডিউলে যুক্ত করা হয়েছিল, এমনকি রাজ্যের কার্নেল মডিউলটিও সরানো যেতে পারে))

তথ্যসূত্র

• রাষ্ট্র ও নীতি সম্পর্কে ফায়ারওয়াল প্রশ্ন?
• iptables: কনট্র্যাক বা রাষ্ট্র মডিউল ব্যবহার করে পার্থক্য

আমি কোনও নেটফিল্টার বিশেষজ্ঞ নই, তবে আমি iptables- এক্সটেনশন ম্যান-পৃষ্ঠা এবং অবাক করে দেখলাম, এটি সেখানে রয়েছে

The "state" extension is a subset of the "conntrack" module.

সুতরাং রাজ্যটি কনট্র্যাকের একটি অংশ এবং এটির একটি সহজ সংস্করণ যদি আপনার সত্যই প্রয়োজন হয় - স্ট্যান্ট এবং কনট্র্যাকের আরও অভিনব বৈশিষ্ট্যগুলি না পাওয়া