Iptstate et conntrack, différence avec netstat

Support Debian
#1

bonjour, j’essaie de comprendre pourquoi iptstate et conntrack m’indiquent des connexions établies que netstat ne voit pas:

conntrack -L | grep 64.233.165.16 tcp 6 417155 ESTABLISHED src=10.9.3.186 dst=64.233.165.16 sport=35383 dport=993 src=64.233.165.16 dst=10.9.3.186 sport=993 dport=35383 [ASSURED] mark=0 use=1 tcp 6 417168 ESTABLISHED src=10.9.3.186 dst=64.233.165.16 sport=35386 dport=993 src=64.233.165.16 dst=10.9.3.186 sport=993 dport=35386 [ASSURED] mark=0 use=1 conntrack v1.4.2 (conntrack-tools): 112 flow entries have been shown.

iptstate -1 | grep 64.233.165.16 10.9.3.186:35383 64.233.165.16:993 tcp ESTABLISHED 115:52:29 10.9.3.186:35386 64.233.165.16:993 tcp ESTABLISHED 115:52:42

que dalle !

il doit y avoir un cache utilisé par conntrack et iptstate parceque l’adresse locale vpn 10.9.3.186 n’existe même plus

qu’en déduire de ces connexions établies ? sont elles toujours effectives ou “potentiellement” effectives ?

#2

Ce n’est pas la même chose.
[mono]netstat[/mono] affiche l’état des sockets réseau ouvertes par des processus locaux.
[mono]conntrack[/mono] et [mono]iptstate[/mono] affichent l’état du suivi de connexion de netfilter (connection tracking) reconstitué à partir des paquets IP émis et reçus.

Il y a diverses raisons qui peuvent expliquer qu’une “connexion” existe dans le suivi de connexion mais n’a pas de socket ouverte, notamment :

  • la machine locale n’est ni la source ni la destination mais ne sert que de routeur intermédiaire ;
  • la socket locale a été fermée mais le suivi de connexion ne l’a pas détecté.

A partir du délai d’expiration par défaut de 5 jours (432000 secondes), on peut déduire que ces deux “connexions” IMAPS n’ont pas vu de trafic depuis plus de 4 heures.

#3

merci PascalHambourg pour ces explications très claires, je comprend mieux la différence

[quote]la socket locale a été fermée mais le suivi de connexion ne l’a pas détecté[/quote].

c’est cela, et il m’indique toujours l’adresse 10.9.3.186 qui n’existe plus,
comment supprimer ces suivis de connexion enregistrés qui ne correspondent plus au socket locale sans redémarrer la machine ?

#4

Avec la commande [mono]conntrack[/mono], option -D.
Mais ce n’est vraiment pas utile à moins qu’il y en ait des centaines.

#5

ok merci ce n’est pas utile, mais c’est plus clair maintenant.