, , , , , ,

netfilter : usages des modules state et conntrack

On trouve de nombreux exemples de règles iptables qui semblent utiliser indifféremment les modules conntrack ou state

# Regle utilisant state
-A ufw-before-input -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
-A ufw-before-input -p udp --dport 69 -m state --state NEW -j ACCEPT

# Equivalent utilisant conntrack
-A ufw-before-input -p udp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
-A ufw-before-input -p udp --dport 69 -m conntrack --ctstate NEW -j ACCEPT

La documentation (man iptables-extensions) indique :

The "state" extension is a subset of the "conntrack" module.  "state" allows access to the connection tracking state for this packet.

Certaines fonctionnalités ne seront donc disponibles qu'avec conntrack (par exemple le masquerading) pour un suivi des états simple l'usage du module state peut être suffisant.

Références