O que seria a conntrack?

1. O que seria a conntrack?

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 07/10/2012 - 18:16h

Óla a todos!
Gostaria de entender realmente o que ela é, para quer serve e se tem como limpa-la??

Abraço


  


2. Re: O que seria a conntrack?

leonardo Souza
lejoso

(usa Debian)

Enviado em 09/10/2012 - 14:03h

Boa Tarde,

Para limpar, se utiliza o comando -> conntrack -F. Porém, para isso tem que ter instalado o utilitário conntrack-tools.

Em relação a sua funcionalidade, ela é uma tabela onde são armazenadas todas as conexões que passam pelo servidor, seja originadas no mesmo ou de fora dele.
Através dessa tabela, o firewall consegue identificar o estado de determinada conexão, podendo ser NEW,ESTABLISHED,RELATED ou INVALID.
A tabela Nat do iptables trabalha diretamente com essa tabela do conntrack, sem ela por exemplo, não conseguiríamos fazer com que diversos hosts internos navegassem através de um único ip válido, já que o conntrack é que garante que na volta dos pacotes, o mesmo seja retornado para o devido ip que o solicitou. Ou seja, o conntrack é essencial para o funcionamento do NAT(SNAT,MASQUERADE,DNAT,REDICT).

www.netfilter.org -> Diversas informações e dúvidas poderão ser adquiridas nesse site.

Qualquér dúvida estamos a disposição.

Att,

Leonardo Souza














3. Re: O que seria a conntrack?

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 14/12/2012 - 16:14h

Desculpa a demora, mas era isso mesmo minha duvida.
Mais uma coisinha, com base nela que se fizer uma POSTROUTING
exemplo

mascaro tudo que for(tcp) para o ip 192.168.10.100 com o ip 192.168.0.254
iptables -t nat -I PSTROUTING -d 192.168.10.100 -p tcp -j SNAT --to 192.168.0.254

Na hora de devolver o pacote, ele vai usar a conntrack para ver a origem verdadeira e devolver para, pois sem ela ele devolveria para o 192.168.0.254
Seria isso??



4. Re: O que seria a conntrack?

Carlos APC
Carlos_Cunha

(usa Linux Mint)

Enviado em 29/01/2013 - 16:43h

"UP"
Alguém.....


5. Re: O que seria a conntrack?

leonardo Souza
lejoso

(usa Debian)

Enviado em 30/01/2013 - 21:36h

Desculpe a demora em responder.

Em relação a essa última dúvida, é exatamente isso, na hora que o pacote volta, a tabela do conntrack é analisada e com isso a tradução de endereço de origem (alvo SNAT) que havia sido feita na ida, a mesma é desfeita, com isso o pacote volta para a estação que originou o pacote ao invés de vlta rpro serviço local do firewall.
Outra coisa importante, sem o armazenamento no conntrack, nenhuma regra da tabela nat funcionada.

Se quiser testar, faça a seguinte regra:

iptables -t raw -I PREROUTING -s ip_maquina_teste -p tcp --dport 80 -j NOTRACK.

Após isso, tente navegar em alguma página http, você não vai conseguir.


Att,

Lejoso



6. Re: O que seria a conntrack?

calvin b m
calvinb

(usa Fedora)

Enviado em 15/08/2013 - 15:16h

Mas Lejoso, mesmo se eu utilizasse essa regra:

iptables -t raw -I PREROUTING -s ip_maquina_teste -p tcp --dport 80 -j NOTRACK

Em seguida inserisse as regras NAT de ida e de volta manualmente mesmo assim não funcionaria?


Ou depois que o pacote passar pela tabela raw, ele pularia a tabela NAT?







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts