我想知道如果Conntrack -D删除tcp连接,或者它只是删除连接跟踪条目?
我build立了一个ssh到我的路由器,然后删除使用Conntrack -D命令的条目。 我可以看到条目被删除,但是我看到ssh会话在terminal上仍然存在。
此外,我再次看到使用Conntrack -L进行演出的条目,但是这次使用不同的连接ID但端口相同。
难道连接被terminal上的shell / ssh程序重新启动? 或者是Conntrack的预期行为。
我是一个新手,不知道这个问题是否应该属于iptables的标签,如果是这样的话,请redirect我。
Conntrack使您能够查看和操作有关连接的有状态数据。 它不处理作为ssh连接一部分的TCP数据包。
如果你想打破SSH会话,而你只是删除该连接的状态数据,一个新的连接将开始被跟踪。 就像当ssh会话最初被检测为一个新的连接一样,协议跟踪只是看到正在进行的ssh会话中的下一个数据包,并开始跟踪连接。
如果你想中断连接,你需要删除允许会话启动的iptables规则。 然后,当通过Conntrack丢弃连接时,作为ssh会话一部分的下一个数据包将被防火墙拒绝(假设它被configuration为丢弃数据包,而不是被跟踪的连接的一部分),并且ssh会话将停止工作。