Enviado em 07/10/2012 - 18:16h
Óla a todos!
Gostaria de entender realmente o que ela é, para quer serve e se tem como limpa-la??
Abraço
Gostaria de entender realmente o que ela é, para quer serve e se tem como limpa-la??
Abraço
O que seria a conntrack?
Responder tópico2. Re: O que seria a conntrack?
Enviado em 09/10/2012 - 14:03h
Boa Tarde,
Para limpar, se utiliza o comando -> conntrack -F. Porém, para isso tem que ter instalado o utilitário conntrack-tools.
Em relação a sua funcionalidade, ela é uma tabela onde são armazenadas todas as conexões que passam pelo servidor, seja originadas no mesmo ou de fora dele.
Através dessa tabela, o firewall consegue identificar o estado de determinada conexão, podendo ser NEW,ESTABLISHED,RELATED ou INVALID.
A tabela Nat do iptables trabalha diretamente com essa tabela do conntrack, sem ela por exemplo, não conseguiríamos fazer com que diversos hosts internos navegassem através de um único ip válido, já que o conntrack é que garante que na volta dos pacotes, o mesmo seja retornado para o devido ip que o solicitou. Ou seja, o conntrack é essencial para o funcionamento do NAT(SNAT,MASQUERADE,DNAT,REDICT).
www.netfilter.org -> Diversas informações e dúvidas poderão ser adquiridas nesse site.
Qualquér dúvida estamos a disposição.
Att,
Leonardo Souza
Para limpar, se utiliza o comando -> conntrack -F. Porém, para isso tem que ter instalado o utilitário conntrack-tools.
Em relação a sua funcionalidade, ela é uma tabela onde são armazenadas todas as conexões que passam pelo servidor, seja originadas no mesmo ou de fora dele.
Através dessa tabela, o firewall consegue identificar o estado de determinada conexão, podendo ser NEW,ESTABLISHED,RELATED ou INVALID.
A tabela Nat do iptables trabalha diretamente com essa tabela do conntrack, sem ela por exemplo, não conseguiríamos fazer com que diversos hosts internos navegassem através de um único ip válido, já que o conntrack é que garante que na volta dos pacotes, o mesmo seja retornado para o devido ip que o solicitou. Ou seja, o conntrack é essencial para o funcionamento do NAT(SNAT,MASQUERADE,DNAT,REDICT).
www.netfilter.org -> Diversas informações e dúvidas poderão ser adquiridas nesse site.
Qualquér dúvida estamos a disposição.
Att,
Leonardo Souza
3. Re: O que seria a conntrack?
Enviado em 14/12/2012 - 16:14h
Desculpa a demora, mas era isso mesmo minha duvida.
Mais uma coisinha, com base nela que se fizer uma POSTROUTING
exemplo
mascaro tudo que for(tcp) para o ip 192.168.10.100 com o ip 192.168.0.254
iptables -t nat -I PSTROUTING -d 192.168.10.100 -p tcp -j SNAT --to 192.168.0.254
Na hora de devolver o pacote, ele vai usar a conntrack para ver a origem verdadeira e devolver para, pois sem ela ele devolveria para o 192.168.0.254
Seria isso??
Mais uma coisinha, com base nela que se fizer uma POSTROUTING
exemplo
mascaro tudo que for(tcp) para o ip 192.168.10.100 com o ip 192.168.0.254
iptables -t nat -I PSTROUTING -d 192.168.10.100 -p tcp -j SNAT --to 192.168.0.254
Na hora de devolver o pacote, ele vai usar a conntrack para ver a origem verdadeira e devolver para, pois sem ela ele devolveria para o 192.168.0.254
Seria isso??
4. Re: O que seria a conntrack?
Enviado em 29/01/2013 - 16:43h
"UP"
Alguém.....
Alguém.....
5. Re: O que seria a conntrack?
Enviado em 30/01/2013 - 21:36h
Desculpe a demora em responder.
Em relação a essa última dúvida, é exatamente isso, na hora que o pacote volta, a tabela do conntrack é analisada e com isso a tradução de endereço de origem (alvo SNAT) que havia sido feita na ida, a mesma é desfeita, com isso o pacote volta para a estação que originou o pacote ao invés de vlta rpro serviço local do firewall.
Outra coisa importante, sem o armazenamento no conntrack, nenhuma regra da tabela nat funcionada.
Se quiser testar, faça a seguinte regra:
iptables -t raw -I PREROUTING -s ip_maquina_teste -p tcp --dport 80 -j NOTRACK.
Após isso, tente navegar em alguma página http, você não vai conseguir.
Att,
Lejoso
Em relação a essa última dúvida, é exatamente isso, na hora que o pacote volta, a tabela do conntrack é analisada e com isso a tradução de endereço de origem (alvo SNAT) que havia sido feita na ida, a mesma é desfeita, com isso o pacote volta para a estação que originou o pacote ao invés de vlta rpro serviço local do firewall.
Outra coisa importante, sem o armazenamento no conntrack, nenhuma regra da tabela nat funcionada.
Se quiser testar, faça a seguinte regra:
iptables -t raw -I PREROUTING -s ip_maquina_teste -p tcp --dport 80 -j NOTRACK.
Após isso, tente navegar em alguma página http, você não vai conseguir.
Att,
Lejoso
6. Re: O que seria a conntrack?
Enviado em 15/08/2013 - 15:16h
Mas Lejoso, mesmo se eu utilizasse essa regra:
iptables -t raw -I PREROUTING -s ip_maquina_teste -p tcp --dport 80 -j NOTRACK
Em seguida inserisse as regras NAT de ida e de volta manualmente mesmo assim não funcionaria?
Ou depois que o pacote passar pela tabela raw, ele pularia a tabela NAT?
iptables -t raw -I PREROUTING -s ip_maquina_teste -p tcp --dport 80 -j NOTRACK
Em seguida inserisse as regras NAT de ida e de volta manualmente mesmo assim não funcionaria?
Ou depois que o pacote passar pela tabela raw, ele pularia a tabela NAT?
Responder tópico
Entre na sua conta para responder.