Différences

Ci-dessous, les différences entre deux révisions de la page.

--- netadmin:iptables:usage_des_modules_state_et_conntrack [2023/12/14 15:25] – créée yoann
+++ netadmin:iptables:usage_des_modules_state_et_conntrack [2023/12/14 16:44] (Version actuelle) – yoann
@@ Ligne 6: / Ligne 6: @@
 On trouve de nombreux exemples de règles iptables qui semblent utiliser indifféremment les modules **conntrack** ou **state**
+<code>
+# Regle utilisant state
+-A ufw-before-input -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
+-A ufw-before-input -p udp --dport 69 -m state --state NEW -j ACCEPT
+# Equivalent utilisant conntrack
+-A ufw-before-input -p udp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
+-A ufw-before-input -p udp --dport 69 -m conntrack --ctstate NEW -j ACCEPT
+</code>
 La documentation (**''man iptables-extensions''**) indique :
   The "state" extension is a subset of the "conntrack" module.  "state" allows access to the connection tracking state for this packet.
-Le module **state** correspond à un sous-ensemble du module **conntrack**.
+Certaines fonctionnalités ne seront donc disponibles qu'avec conntrack (par exemple le masquerading) pour un suivi des états simple l'usage du module state peut être suffisant.

wikinotes