netfilter的conntrack问题
时间:2010-12-22
来源:互联网
请问netfilter中的conntrack模块是不是实现了有状态防火墙的功能啊?有没有这个功能主要体现在下面几个区别:
1. 有这张session表的话可以进行快速转发,大部分数据包都不需要进行ACL的判断,只是根据这张session表进行判断就进行转发了,因为这种表是hash表,速度很快;
2. 没有这张session表的话不能实现NAT功能;
3. 没有这张表的话ACL必须设置双向,配置复杂,也就是说允许A-->B,有这张表那么B-->A的响应包自动允许通过,如果没有这张表那么必须开启A-->B和B-->A两条ACL;
请问我的理解对吗?
1. 有这张session表的话可以进行快速转发,大部分数据包都不需要进行ACL的判断,只是根据这张session表进行判断就进行转发了,因为这种表是hash表,速度很快;
2. 没有这张session表的话不能实现NAT功能;
3. 没有这张表的话ACL必须设置双向,配置复杂,也就是说允许A-->B,有这张表那么B-->A的响应包自动允许通过,如果没有这张表那么必须开启A-->B和B-->A两条ACL;
请问我的理解对吗?
作者: 让子弹飞一会儿 发布时间: 2010-12-22
QUOTE:
请问netfilter中的conntrack模块是不是实现了有状态防火墙的功能啊?
基于状态的防火墙,通常就是依托连接连实现的。conntrack 实现了这方面的功能
作者: Godbach 发布时间: 2010-12-22
QUOTE:
1. 有这张session表的话可以进行快速转发,大部分数据包都不需要进行ACL的判断,只是根据这张session表进行判断就进行转发了,因为这种表是hash表,速度很快;
3. 没有这张表的话ACL必须设置双向,配置复杂,也就是说允许A-->B,有这张表那么B-->A的响应包自动允许通过,如果没有这张表那么必须开启A-->B和B-->A两条ACL;
3. 没有这张表的话ACL必须设置双向,配置复杂,也就是说允许A-->B,有这张表那么B-->A的响应包自动允许通过,如果没有这张表那么必须开启A-->B和B-->A两条ACL;
这两个问题实际上是同一个问题。这就是基于状态检测的优势。
作者: Godbach 发布时间: 2010-12-22
LZ这ID真是赶时髦
作者: dreamice 发布时间: 2010-12-22
QUOTE:
这两个问题实际上是同一个问题。这就是基于状态检测的优势。
Godbach 发表于 2010-12-22 15:34
Godbach 发表于 2010-12-22 15:34
那除了:
1. 快速转发功能(1和3);
2. NAT实现,不管是SNAT还是DNAT都必须依赖于conntrack,没有conntrack是无法将响应包恢复的,是这样吗?
除了上面2条,conntrack(也就是有状态防火墙)还有别的功能吗?
作者: 让子弹飞一会儿 发布时间: 2010-12-22
QUOTE:
LZ这ID真是赶时髦
dreamice 发表于 2010-12-22 15:47
dreamice 发表于 2010-12-22 15:47
呵呵。。。。要与时俱进。。。
作者: 让子弹飞一会儿 发布时间: 2010-12-22
相关阅读 更多
热门阅读
-
office 2019专业增强版最新2021版激活秘钥/序列号/激活码推荐 附激活工具
阅读:74
-
如何安装mysql8.0
阅读:31
-
Word快速设置标题样式步骤详解
阅读:28
-
20+道必知必会的Vue面试题(附答案解析)
阅读:37
-
HTML如何制作表单
阅读:22
-
百词斩可以改天数吗?当然可以,4个步骤轻松修改天数!
阅读:31
-
ET文件格式和XLS格式文件之间如何转化?
阅读:24
-
react和vue的区别及优缺点是什么
阅读:121
-
支付宝人脸识别如何关闭?
阅读:21
-
腾讯微云怎么修改照片或视频备份路径?
阅读:28
