làm sao iptables biết được state của gói tin vậy ạ?

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận hệ điều hành *nix

làm sao iptables biết được state của gói tin vậy ạ?

[Question] làm sao iptables biết được state của gói tin vậy ạ?	09/05/2013 00:54:24 (+0700) \| #1 \| 275587

o0o_nohssiw_o0o
Member

Joined: 02/05/2009 02:49:04
Messages: 12
Offline

Em có thắc mắc như này: làm sao iptables biết được state của gói tin?

Mong các anh giải đáp giúp em với ạ

[Question] làm sao iptables biết được state của gói tin vậy ạ?	09/05/2013 08:47:41 (+0700) \| #2 \| 275599

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

o0o_nohssiw_o0o wrote:

Em có thắc mắc như này: làm sao iptables biết được state của gói tin?

Nó dựa vào một kernel module có tên là `nf_conntrack`:
Code:

$ modinfo nf_conntrack
filename:       /lib/modules/3.5.0-25-generic/kernel/net/netfilter/nf_conntrack.ko
license:        GPL
srcversion:     511CEC3194395899E1DEDF9
depends:        
intree:         Y
vermagic:       3.5.0-25-generic SMP mod_unload modversions 686 
parm:           tstamp:Enable connection tracking flow timestamping. (bool)
parm:           acct:Enable connection tracking flow accounting. (bool)
parm:           nf_conntrack_helper:Enable automatic conntrack helper assignment (default 1) (bool)
parm:           expect_hashsize:uint

Let's build on a great foundation!

[Question] làm sao iptables biết được state của gói tin vậy ạ?	09/05/2013 16:20:33 (+0700) \| #3 \| 275610

o0o_nohssiw_o0o
Member

Joined: 02/05/2009 02:49:04
Messages: 12
Offline

Cảm ơn anh đã rep.
Module đó thì em biết, cái em muốn hỏi là khi 1 gói tin đi vào, module đó nó dựa vào cái gì để gán state cho gói đó (sau đó nó so sánh với rule của iptables). Anh có thể nói rõ hơn cho em được không ạ?

Trong netfilter còn có module xt_state.ko . Em gia cát dự nó cũng thuộc phần này.
Em mờ mấy file đó thì là binary nên chịu, không biết hỏi ai nữa :-s

[Question] làm sao iptables biết được state của gói tin vậy ạ?	09/05/2013 21:21:58 (+0700) \| #4 \| 275621

myquartz
Member

Joined: 04/01/2005 04:58:30
Messages: 563
Offline

quanta ah, nếu state và xử lý state của kết nối với iptable thì là module state (-m state) chứ nhỉ?
Còn cái conntrack kia nó không cần quan tâm state (của connection) lắm mà là nó kiểm tra port đó có rơi vào 1 protocol helper nào đó không => để helper lục lọi soi vào data gửi => có thêm cư xử. Ví dụ FTP thì phải mở thêm cổng FTP Data sau lệnh gửi/nhận (nếu là ACTIVE mode thì còn phải NAT nữa).

Go to:

Users currently in here
1 Anonymous