У меня есть Linux, который настроен как брандмауэр / шлюз для сети. Было просто интересно, почему ss и другие инструменты iproute2 показывают намного меньше, чем iptables conntrack. Это потому, что функция маршрутизатора работает только в ядре?
ss -na
Показывает только два установленных соединения, где
conntrack -L -n
Показывает 18 установленных подключений.
ss и netstat показать соединения, завершенные на этом хосте, то есть либо исходящие соединения, созданные процессом на хосте, либо входящие соединения, обрабатываемые процессом на хосте. (Технически здесь показаны сокеты.) conntrack показывает соединения, известные системе отслеживания соединений, включая соединения, маршрутизируемые, но не завершаемые этим хостом. (Сокеты не существуют для соединений, которые только маршрутизируются.)