Outils pour utilisateurs
netadmin:iptables:usage_des_modules_state_et_conntrack
netfilter : usages des modules state et conntrack
On trouve de nombreux exemples de règles iptables qui semblent utiliser indifféremment les modules conntrack ou state
# Regle utilisant state -A ufw-before-input -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT -A ufw-before-input -p udp --dport 69 -m state --state NEW -j ACCEPT # Equivalent utilisant conntrack -A ufw-before-input -p udp -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT -A ufw-before-input -p udp --dport 69 -m conntrack --ctstate NEW -j ACCEPT
La documentation (man iptables-extensions) indique :
The "state" extension is a subset of the "conntrack" module. "state" allows access to the connection tracking state for this packet.
Certaines fonctionnalités ne seront donc disponibles qu'avec conntrack (par exemple le masquerading) pour un suivi des états simple l'usage du module state peut être suffisant.
Références
- man iptables-extensions
netadmin/iptables/usage_des_modules_state_et_conntrack.txt · Dernière modification : 2023/12/14 16:44 de yoann
Outils de la page
Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : GNU Free Documentation License 1.3
