ip_conntrack_*

[Patryk Szczygłowski]

On Mon, 11 Nov 2002, Michal Margula wrote:

> Hejka!
> 
> Czym się różni taki ip_nat_ftp od ip_conntrack_ftp?

Mogę zgadywać, bo sam do końca nie wiem.
ip_conntrack_ftp: śledzi połączenia FTP
ip_nat_ftp: maskuje połączenia FTP (zapewne do działania potrzebuje 
ip_conntrack_ftp)

W każdym razie gdy robisz Maskaradę będziesz potrzebował załadowane oba 
moduły.

ip_conntrack_ftp jest także potrzebne w momencie, gdy używasz iptables i 
chcesz, aby filtrować połączenia dla FTP (jak większość adminów wie, FTP 
otwiera niejedno połączenie :) ).

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Gdyby nie ip_conntrack_ftp, to ta regułka nie łapałaby połączeń 
zestawianych w celu przesłania pliku (które dla FTP są połączeniami 
dodatkowymi i mogą mieć dowolne numery portów, więc nie są tak łatwo 
wykrywalne).

-- 
Patryk Szczygłowski
patryk w dukat.waw.pl