nf_conntrack_max和nf_conntrack_expect_max有什么区别？

Question

我明白nf_conntrack_max是什么，但是nf_conntrack_expect_max实际上是做什么的？我在任何地方都找不到解释。

Answer 1

参考资料：连接轨迹手册页

连接跟踪系统维护两个不同的表，一个用于跟踪活动的连接，另一个用于跟踪/预期/活动的连接。预期连接的一个例子是FTP连接，它同时使用控制连接和数据连接。当打开控制连接时，数据连接将被打开。

在单一的表解决方案中，拒绝服务可能会通过填充表中的期望来触发，从而使合法的、活跃的连接消失。单独的表有助于防止这种情况发生。

在两个系统设置中，nf_conntrack_expect_max是预期表的最大条目数，其功能与连接表的nf_conntrack_max相同。