我有一个 linux box,它被设置为网络的防火墙/网关。只是想知道为什么 ss 和其他 iproute2 工具显示的内容比 iptables conntrack 少得多。是因为路由器功能仅在内核中发生吗?
ss -na
仅显示两个已建立的连接,其中作为
conntrack -L -n
显示 18 已建立的连接。
AskOverflow.Dev
我有一个 linux box,它被设置为网络的防火墙/网关。只是想知道为什么 ss 和其他 iproute2 工具显示的内容比 iptables conntrack 少得多。是因为路由器功能仅在内核中发生吗?
ss -na
仅显示两个已建立的连接,其中作为
conntrack -L -n
显示 18 已建立的连接。
ss并netstat显示终止于该主机的连接,即由主机上的进程创建的传出连接,或由主机上的进程处理的传入连接。(从技术上讲,这些显示了套接字。)conntrack显示了连接跟踪系统已知的连接,其中包括由该主机路由但未终止的连接。(套接字不存在仅用于路由的连接。)