LINUX.ORG.RU
решено ФорумAdmin

-m state в 2019 году

 , ,


0

1

В каких случаях он актуален? Может потребляет меньше ресурсов или с hw offload лучше совместим или на самом деле на данный момент алиас для conntrack оставленный в режиме совместимости?

В man заглянуть не судьба?

"-m state" никогда не потреблял ресурсов. Там 5 строк кода :) Да и "-m conntrack" тоже прост как грабли.

А вот сама подсистема conntack - как жрала ресуры, так и жрет. А куда же она денется с таким функционалом.

Ты бы уточнил с каким «hw offload» интересует совместимость. С nat он точно не совместим.

vel ★★★★★ ()
Ответ на: комментарий от vel

В man написано мутное:

The «state» extension is a subset of the «conntrack» module. «state» allows access to the connection tracking state for this packet.
Where state is a comma separated list of the connection states to match. Only a subset of the states unterstood by «conntrack» are recognized

Я потому и спросил не алиас ли он к conntrack

NobleWolf ()
Ответ на: комментарий от NobleWolf

Алиас, на уровне команды iptables, оба этих правла в одном файле исходного кода. В ядре один код выполняет правила и модуля conntrack и модуля state. Оставлен для совместимости, чтобы не ломать старые скрипты.

mky ★★★★★ ()
Ответ на: комментарий от ValdikSS

the visible effect is that you do not see these packets from any of the netfilter hooks coming after the ingress

Все таки запилили в официальные ядра. И 10 лет не прошло.

Но с iptables оно несовместимо.

Интересно, а кроме intel DPDK эту фичу еще кто-то может использовать ?

vel ★★★★★ ()
Ответ на: комментарий от NobleWolf

дык "-m state" только состояние умеет проверять, а "-m conntrack" еще полезные вещи умеет.

Но пока в реалтности он не совсем алиас. Это отдельный код и в iptables и в ядре.

vel ★★★★★ ()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от vel

дык "-m state" только состояние умеет проверять, а "-m conntrack" еще полезные вещи умеет.

но функционал conntrack полностью перекрывает функционал state, тут выше пишут что его для совместимости составили, наверное так оно и есть

NobleWolf ()
Ответ на: комментарий от NobleWolf

В man написано мутное:

Совсем не мутное, там в мане дальше

              Where  state  is a comma separated list of the connection states
              to match. Only a subset of the states unterstood by  "conntrack"
              are recognized: INVALID, ESTABLISHED, NEW, RELATED or UNTRACKED.
              For their description, see the "conntrack" heading in this  man-
              page.

anc ★★★★★ ()