Linux Netfilter框架之conntrack连接跟踪机制一、Linux的Netfilter框架
一般conntrack用来指代“ConnectionTracking”,即连接跟踪,是建立在Netfilter框架之上的重要功能之一。连接跟踪允许内核跟踪所有逻辑网络连接或会话,从而关联可能构成该连接的所有数据包。NAT依赖此信息以相同的方式转换所有相关数据包,而iptables可以使用此信息充当有状态防火墙。连接跟踪(ConnectionTracking)用来跟踪会话连接,这样就可以根据数据包是否属于某个连接来做策略。例如(除有特殊配置,此命令会造成ssh远程连接中断,谨慎执行!...
