连接跟踪(conntrack)是网络应用非常非常的基础，比如有状态防火墙 (firewall)，网络地址转换(nat),负载均衡(lb)。Linux conntrack 是 基于 netfilter 实现的，如图所示，分别在 PREROUTING, POSTROUTING 位置前 和后对网络报文进行跟踪;但是 XDP 位置在进入网络栈之前，无法利用到内核栈的 conntrack 能力， Cilium 应该遇到同样的问题， 所以 Cilium 基于 eBPF 实现了 conntrack；换句话说，只要具备 Hook 能力，能拦截进出主机的每个报文，完全可以实 现一套连接跟踪功能， 这个该项目的核心思路。 购买文档，免费给源代码！！ 购买文档，免费给源代码！！ 购买文档，免费给源代码！！

官方离线安装包，亲测可用

conntrack-tools-1.4.4-7.el7.x86_64。这个包适合centos 7使用，使用rpm -ivh 安装就行。

认识和熟悉过iptables之后，更加感叹netfilter的磅礴和浩瀚。在netfilter体系中，状态跟踪机制（conntrack）是重要的一部分。它是基于Linux系统的stateful防火墙的基础，也是NAT完成对相关包进行转换的手段。本文尝试对conntrack的机制进行分析和理解。 在基于header信息（IP，端口等）进行过滤的包过滤防火墙发展多年之后，对防火墙的需求也再逐渐丰富，stateless防火墙对探测跟踪以及DoS的防护显得力不从心。当然从历史时间来看，包过滤防火墙是符合当时发展需要，效率也更高，对于更高层的应用当时都很少，自然也不需要太关注防护。 conntrack将信息存在内存结构中，包括IP，端口，协议类型，状态以及超时时间。 而且conntrack不仅可以对TCP这种有状态的会话进行状态跟踪，还可以对UDP进行状态跟踪。 conntrack本身并不会对包进行过滤，而是提供一种基于状态和关系的过滤依据。

使用Linux内核的netfilter实现防火墙的方法，包含了netfilter代码分析

conntrack-tools离线安装包和其依赖

conntrack-tools离线宝及其依赖

非常详细的连接跟踪过程讲解 非常详细的连接跟踪过程讲解