我有一个 Linux 机器,它被设置为网络的防火墙/网关。我只是想知道为什么 ss 和其他 iproute2 工具显示的内容比 iptables conntrack 少得多。是因为路由器功能只在内核中发生吗?
ss -na
仅显示两个已建立的连接,而
conntrack -L -n
显示 18 个已建立的连接。
答案1
ss并netstat显示在该主机上终止的连接,即由主机上的进程创建的传出连接或由主机上的进程处理的传入连接。(从技术上讲,这些向您显示套接字。)conntrack显示连接跟踪系统已知的连接,其中包括由该主机路由但未终止的连接。(仅路由的连接不存在套接字。)