标签: linux iptables netfilter
我一直认为IPv4连接跟踪(aka conntrack)是被动模块,仅读取数据包并进行跟踪,因此以后其他模块可以使用该信息来决定相关数据包的命运(例如,属于同一连接的数据包)。
conntrack
但是,最近我在conntrack的{{3}}中偶然发现了此评论:
“连接跟踪可能会丢弃数据包,但永远不会对其进行更改,因此请使其成为第一个钩子。”
..表明conntrack不仅是被动的观察者,而且实际上可以丢弃数据包!!!
在什么情况下会发生这种情况?