Iptables, -m durum ve -m conntrack arasındaki fark nedir?

Aşağıdakiler arasındaki pratik fark nedir:

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

ve

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Hangisini kullanmak en iyisidir?

Teşekkür ederim.

Her ikisi de altında aynı çekirdek dahili kullanır (bağlantı izleme alt sistemi).

Xt_conntrack.c üstbilgisi:

xt_conntrack - Netfilter module to match connection tracking
information. (Superset of Rusty's minimalistic state match.)

Yani diyebilirim ki - durum modülü daha basittir (ve belki de daha az hataya eğilimlidir). Aynı zamanda çekirdekte daha uzun. Diğer taraftaki conntrack daha fazla seçenek ve özelliğe sahiptir [1].

Benim çağrım, özelliklerine ihtiyacınız varsa, conntrack kullanmak, aksi halde durum modülünü kullanmak.

Netfilter maillistinde de benzer bir soru var.

[1] "-m conntrack --ctstate DNAT -j MASQUERADE" yönlendirme / DNAT düzeltmesi ;-) gibi oldukça yararlı

Bu iki kuralın sonucunda hiçbir fark yoktur. Her iki eşleme uzantısı da bağlantı izleme durumuyla eşleştirmek için aynı verileri kullanır. durum "eski" eşleme uzantısıdır ve bağlantı noktası daha yenidir ve bağlantı izleme durumuyla eşleşmekten çok daha fazla seçeneğe sahiptir.

Iptables Doc

Belgelerin dediği gibi:

Hazırlık eşlemesi, durum eşlemesinin genişletilmiş bir sürümüdür; bu da paketleri daha ayrıntılı bir şekilde eşleştirmeyi mümkün kılar. Durum eşlemesi gibi herhangi bir "ön uç" sistemi olmadan, doğrudan bağlantı izleme sisteminde mevcut olan bilgilere bakmanıza izin verir. Bağlantı izleme sistemi hakkında daha fazla bilgi için Durum makinesi bölümüne bakın.