Iptables: conntrack oder m state

[ren22]

Hallo,

ich fange gerade an, mich ein wenig mit iptables auseinander zu setzen, dabei ist mir aufgefallen das man Regeln mit "conntrack" oder auch mit "m state" schreiben kann.

Code: Alles auswählen

-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Wo genau liegt den nun der Unterschied zwischen "conntrack" und "m state", außer das ich mit einer "conntrack" nur eine Zeile schreiben muss, glaube ich ^^

Danke

[TomL]

ich fange gerade an, mich ein wenig mit iptables auseinander zu setzen, dabei ist mir aufgefallen das man Regeln mit "conntrack" oder auch mit "m state" schreiben kann.
::::
Wo genau liegt den nun der Unterschied zwischen "conntrack" und "m state", außer das ich mit einer "conntrack" nur eine Zeile schreiben muss, glaube ich

Soweit ich weiss, nutzen beide das gleiche Kernel-Modul, 'state' wird vermutlich intern zu 'ctstate' transferiert. Allerdings solltest Du berücksichtigen, dass das state-Match eigentlich obsolete ist und eben durch Conntrack ersetzt ist. Deswegen ist die Conntrack-Syntax die richtigere Wahl. Und darüber hinaus solltest Du berücksichtigen, dass es auch für iptables schon einen Nachfolger gibt, und zwar nftables. iptables wird ganz sicher noch Jahre bestehen bleiben, aber nftables sind eine deutliche Verbesserung.... z.B. kann man sich damit bei gewissen Bedingungen so Zusatztools wie fail2ban komplett sparen. Wenn Du Stretch nutzt, würde ich nftables aus den Backports installieren, bei Buster einfach direkt aus dem Repo. Für einen Paketfilter-Anfänger wäre also mein Rat, unbedingt gleich auf nftables zu setzen.

BTW, nftables und iptables sind beide nur Frontends im Userspace... und beide führen letztlich zum gleichen Ziel. Nur mit nftables ist es deutlich leichter zu erlernen und das fertige Regelwerk ist besser und leichter verständlich reproduzierbar.