Connection  tracking


System śledzenia połączeń "connection tracking" to  bardzo potężne narzędzie, które decyduje o wielu unikalnych cechach routera
w systemie Linux. Jednak we współczesnych sieciach LAN takie zjawiska jak: ruch P2P oraz coraz większa ilość połączeń generowanych
przez ruch WWW, mogą upośledzać  działanie routera, jeśli odpowiednie środki nie chronią systemu "connection tracking.
Środki chroniące: zwiększanie pojemności systemu "connection tracking", wykrywanie i ograniczanie lub blokowanie ruchu P2P, ograniczanie
ilości połaczeń, pakietów itp. wiążą się ze zwiększonym obciążeniem procesora.

Alternatywą jest ominięcie systemu "connection tracking", co jest możliwe przy spełnieniu jednego z  poniższych warunków dla ruchu IPv4:
- sieć LAN posiada adresy publiczne - rzadszy  przypadek,
- typowy router/modem dostawcy internetu (TPSA, NETIA itp.) implementuje NAT oraz prosty statyczny routing  do maszyny z Ips-Qos.
Ruch IPv6 może omijać system "connection tracking" bez dodatkowych warunków.

Ominięcie systemu "connection tracking" pozwala po stronie Ips-Qps na "puszczenie" ruchu komputera  bez ograniczeń z wyjątkiem ograniczania pasma,

Ominięcie systemu "connection tracking" odbywa się kosztem rezygnacji z następujących funkcjonalności dla ruchu komputerów w sieci LAN:

connlimit

ograniczanie jednoczesnych połączeń TCP

klasy
ograniczenie wykrywanie ruchu wg. zaawansowanych  kryteriów w klasach plugin

bezpieczeństwo

brak stateful packet inspection

Poniżej przedstawiono połączenie Ips-Qos (pierwszy WAN, adres IP 192.168.1.2 ) z router'em Netiaspot.

przykład konfiguracji Netiaspot 

Ustawienia sieci LAN

...
 

Routing

...

DMZ

...

przykład konfiguracji Ips-Qos 

Ustawienie globalne NOTRACK

...


Ustawienie indywidualne CTR

...


Ustawienia pierwszego WAN'a

...


Ustawienia sieci LAN

...