conntrackのステータス

Linux Network Security Memo

iptablesの動作状況を知るきっかけにやはり/proc/net/がある.通常だと/proc/net/{ip_,ip6_}*あたり.
しかし一部ややこしいところがあってconntrack関連.
CentOS 5.2のiptablesは/proc/net/ip_conntrackだがFedora 10になると/proc/net/nf_conntrack.
それぞれiptablesのバージョンは1.3系と1.4系.まぁそれゆえに変わってきているんだろうけどiptablesとNetFilterの名前の混在は面倒だから整理してほしいなぁ〜

# /sbin/iptables --version
iptables v1.3.5
# /sbin/iptables --version
iptables v1.4.1.1
# /bin/ls -la /proc/net/{ip6_,ip_,nf_}*
/bin/ls: /proc/net/nf_*: No such file or directory
-r--r--r-- 1 root root 0 Mar 18 02:06 /proc/net/ip6_flowlabel
-r--r----- 1 root root 0 Mar 18 02:06 /proc/net/ip6_tables_matches
-r--r----- 1 root root 0 Mar 18 02:06 /proc/net/ip6_tables_names
-r--r----- 1 root root 0 Mar 18 02:06 /proc/net/ip6_tables_targets
-r--r----- 1 root root 0 Mar 18 02:06 /proc/net/ip_conntrack
-r--r----- 1 root root 0 Mar 18 02:06 /proc/net/ip_conntrack_expect
-r--r--r-- 1 root root 0 Mar 18 02:06 /proc/net/ip_mr_cache
-r--r--r-- 1 root root 0 Mar 18 02:06 /proc/net/ip_mr_vif
-r--r----- 1 root root 0 Mar 18 02:06 /proc/net/ip_tables_matches
-r--r----- 1 root root 0 Mar 18 02:06 /proc/net/ip_tables_names
-r--r----- 1 root root 0 Mar 18 02:06 /proc/net/ip_tables_targets
# /bin/ls -la /proc/net/{ip6_,ip_,nf_}*
-r--r--r-- 1 root root 0  3月 18日  02:31 /proc/net/ip6_flowlabel
-r--r--r-- 1 root root 0  3月 18日  02:31 /proc/net/ip6_mr_cache
-r--r--r-- 1 root root 0  3月 18日  02:31 /proc/net/ip6_mr_vif
-r--r--r-- 1 root root 0  3月 18日  02:31 /proc/net/ip_mr_cache
-r--r--r-- 1 root root 0  3月 18日  02:31 /proc/net/ip_mr_vif
-r--r----- 1 root root 0  3月 18日  02:31 /proc/net/ip_tables_matches
-r--r----- 1 root root 0  3月 18日  02:31 /proc/net/ip_tables_names
-r--r----- 1 root root 0  3月 18日  02:31 /proc/net/ip_tables_targets
-r--r----- 1 root root 0  3月 18日  02:31 /proc/net/nf_conntrack
-r--r----- 1 root root 0  3月 18日  02:31 /proc/net/nf_conntrack_expect
# /bin/cat /proc/net/ip_conntrack
tcp      6 431999 ESTABLISHED src=192.168.1.111 dst=192.168.1.105 sport=22 dport=54220 packets=3501 bytes=361816 src=192.168.1.105 dst=192.168.1.111 sport=54220 dport=22 packets=2220 bytes=176052 [ASSURED] mark=0 secmark=0 use=1
(snip)
# /usr/bin/head /proc/net/nf_conntrack
ipv4     2 tcp      6 86 TIME_WAIT src=192.168.1.110 dst=192.168.1.200 sport=47793 dport=80 packets=5 bytes=572 src=192.168.1.200 dst=192.168.1.110 sport=80 dport=47793 packets=5 bytes=974 [ASSURED] mark=0 secmark=0 use=1
(snip)

よく見たら行の書式も違う(苦笑