netfilter conntrack的相关问题

kaiserhui

有个关于netfilter-conntrack方面的问题请教各位高手，希望能得到帮助。
  根据baidu百科的说法：
  什么是连接跟踪连接跟踪（CONNTRACK），顾名思义，就是跟踪并且记录连接状态。Linux为每一个经过网络堆栈的数据包，生成一个新的连接记录项 （Connection entry）。此后，所有属于此连接的数据包都被唯一地分配给这个连接，并标识连接的状态。连接跟踪是防火墙模块的状态检测的基础，同时也是地址转换中实 现SNAT和DNAT的前提。
   我想做的项目是一个嵌入式防火墙，只提供静态包过滤和NAT的功能即可，关键的是有高效率，所以准备将用不到的Netfilter高级功能在编译的时候裁剪掉。
   所以，问题：
1，但按照baidu的说法这个CONNTRACK是nat的前题，没有CONNTRACK就不能NAT吗？
2，CONNTRACK的主要功能是表现在哪方面的呢？最好的话，麻烦举例说明。

PS。那个关于CONNTRACK优化方面的文章我读过

Godbach

正如你上面提到的，防火墙的状态检测就可以用到 conntrack。
除了 nat 之外，一些对于流量识别的检测，都可以利用 conntrack。
当然，conntrack 只是给你提供一个解决方案，你觉得不需要了，可以不用。

kaiserhui

回复 2# Godbach
再麻烦问一句，不用conntrack就没办法用NAT吗？

Godbach

你可以先了解一下 nat 的实现。明白 nat 的过程中，有多少信息是需要记录的。
conntrack 也就是一种机制，帮助你记录连接的相关必要信息。

你不用 conntrack 也是可以的，自己单独实现一套机制来记录这些信息。