{{tag>netadmin linux pare-feu sécurité réseau iptable netfilter}}


====== netfilter : usages des modules state et conntrack ======

On trouve de nombreux exemples de règles iptables qui semblent utiliser indifféremment les modules **conntrack** ou **state** 

<code>
# Regle utilisant state
-A ufw-before-input -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
-A ufw-before-input -p udp --dport 69 -m state --state NEW -j ACCEPT

# Equivalent utilisant conntrack
-A ufw-before-input -p udp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A ufw-before-input -p udp --dport 69 -m conntrack --ctstate NEW -j ACCEPT

</code>
La documentation (**''man iptables-extensions''**) indique :
  The "state" extension is a subset of the "conntrack" module.  "state" allows access to the connection tracking state for this packet.

Certaines fonctionnalités ne seront donc disponibles qu'avec conntrack (par exemple le masquerading) pour un suivi des états simple l'usage du module state peut être suffisant.


===== Références =====

  * [[https://stackovercoder.fr/unix/108169/what-is-the-difference-between-m-conntrack-ctstate-and-m-state-state|Diférence entre conntrack et state]]
  * man iptables-extensions