iptables conntrack und andere Fragen

[aki]

Hallo zusammen,

ich habe einige Fragen bezüglich iptables. Was genau ist der Unterschied zwischen:

-m conntrack --ctstate und -m state --state? Und welche der beiden Varianten ist aktueller?

Des weiteren hatte ich ursprünglich eine Benutzereinschränkung über die UID für die Ports 80 und 443. Das Problem war das alles ging nur apt-get nicht mehr. Erlaubt war unter anderem die Benutzung der beiden Ports für die UID 0 also root damit apt-get verwendet werden kann. Ohne diese Benutzereinschränkung geht auch apt-get. Wo habe ich hier einen Denkfehler?

Grüße

[eggy]

(edit: aus man iptables-extensions)

conntrack
This module, when combined with connection tracking, allows access to the connection tracking state for this packet/connection.

[!] --ctstate statelist
statelist is a comma separated list of the connection states to match. Possible states are listed below.

und

state
The "state" extension is a subset of the "conntrack" module. "state" allows access to the connection tracking state for this packet.

[!] --state state
Where state is a comma separated list of the connection states to match. Only a subset of the states unterstood by "conntrack" are recognized: INVALID, ESTABLISHED, NEW, RELATED or UNTRACKED. For their description, see the "conntrack" heading in this manpage.

Wahrscheinlich gibts da aus Sicherheitsgründen nen Userwechsel zu _apt, damit Downloads nicht als root durchgeführt werden.

[TomL]

Was genau ist der Unterschied zwischen:
-m conntrack --ctstate und -m state --state? Und welche der beiden Varianten ist aktueller?

Technisch gesehen ersetzt Conntrack das frühere --state-Match, und somit ist --state eigentlich obsolet. Praktisch gesehen funktioniert auch --state weiterhin unverändert. Ich würde dennoch auf die Conntrack-Module setzen.