Iptables, क्या मैं -m स्थिति और -m संबंध के बीच अंतर है?

इसके बीच व्यावहारिक अंतर क्या है:

iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

तथा

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

कौन सा उपयोग करना सबसे अच्छा है?

धन्यवाद।

दोनों एक ही कर्नेल इंटर्नल का उपयोग करते हैं (कनेक्शन ट्रैकिंग सबसिस्टम)।

Xt_conntrack.c का शीर्षलेख:

xt_conntrack - Netfilter module to match connection tracking
information. (Superset of Rusty's minimalistic state match.)

तो मैं कहूंगा - राज्य मॉड्यूल सरल है (और शायद कम त्रुटि वाला)। यह अब कर्नेल में भी है। दूसरी तरफ Conntrack में अधिक विकल्प और विशेषताएं हैं [1]।

यदि आपको इसकी विशेषताओं की आवश्यकता है, तो मेरा कॉल कॉनट्रैक का उपयोग करना है, अन्यथा राज्य मॉड्यूल के साथ रहें।

नेटफिल्टर मैलिस्ट पर भी ऐसा ही सवाल।

]

उन दो नियमों के परिणाम में कोई अंतर नहीं है। दोनों मैच एक्सटेंशन कनेक्शन ट्रैकिंग स्थिति से मिलान करने के लिए समान डेटा का उपयोग करते हैं। राज्य "पुराना" मैच एक्सटेंशन है और कॉनट्रैक नया है और कनेक्शन ट्रैकिंग स्थिति के मिलान की तुलना में बहुत अधिक विकल्प हैं।

Iptables डॉक्टर

जैसा कि प्रलेखन कहता है:

द मैच मैच स्टेट मैच का एक विस्तारित संस्करण है, जो पैकेट को बहुत अधिक बारीक तरीके से मैच करना संभव बनाता है। आइए, आप बिना किसी "फ्रंटएंड" सिस्टम, जैसे कि राज्य मैच में, सीधे कनेक्शन ट्रैकिंग सिस्टम में उपलब्ध जानकारी को देखते हैं। कनेक्शन ट्रैकिंग सिस्टम के बारे में अधिक जानकारी के लिए, द स्टेट मशीन चैप्टर पर एक नज़र डालें।