4.8. 复杂协议和连接跟踪

有些协议比其他协议更复杂，这里复杂的意思是指连接跟踪机制很难正确地跟踪他们，比如，ICQ、IRC 和FTP，他们都在数据包的数据域里携带某些信息，这些信息用于建立其他的连接。因此，需要一些特别的 helper来完成工作。

下面以FTP作为例子。FTP协议先建立一个单独的连接——FTP控制会话。我们通过这个连接发布命令，其他的端口就会打开以便传输和这个命令相关的数据。这些连接的建立方法有两种：主动模式和被动模式。先看看主动模式，FTP客户端发送端口和IP地址信息给服务器端，然后，客户端打开这个端口，服务器端从他自己的20端口（FTP-Data端口号）建立和这个端口的连接，接着就能够使用这个连接发送数据了。

问题在于防火墙不知道这些额外的连接（相对于控制会话而言），因为这些连接在建立时的磋商信息都在协议数据包的数据域内，而不是在可分析的协议头里。因此，防火墙就不知道是不是该放这些从服务器到客户机的连接过关。

解决的办法是为连接跟踪模块增加一个特别的helper，以便能检测到那些信息。这样，那些从FTP服务器到客户机的连接就能够被跟踪了，状态是RELATED，过程如下图所示：

被动FTP工作方式下，data连接的建立过程和主动FTP的相反。客户机告诉服务器需要某些数据，服务器就把地址和端口发回给客户机，客户机据此建立连接接受数据。假如FTP服务器在防火墙后面，或您对用户限制的比较严格，只允许他们访问HTTP和FTP，而封闭了其他任何端口，为了让在Internet是的客户机能访问到FTP，也需要增加上面提到的helper。下面是被动模式下data连接的建立过程：

有些conntrack helper已包含在内核中，在写这篇文章时，FTP和IRC已有了相应的conntrack helper。假如在内核里没有您想要的helper，能够到iptables用户空间的patch-o-matic目录中看看，那里有很多的helper，比如针对ntalk或H.323协议的等等。假如没找到，更有几个选择：能够查查iptables的 CVS，或联系Netfilter-devel问问有没有您要的。还不行的话，只有您自己写了，我能够给您介绍一篇好文章，Rusty Russell's Unreliable Netfilter Hacking HOW-TO，连接放在附录里其他资源和链接。

Conntrack helper即能够被静态地编译进内核，也能够作为模块，但要用下面的命令装载：

modprobe ip_conntrack_*

   

注意连接跟踪并不处理NAT，因此要对连接做NAT就需要增加相应的模块。比如，您想NAT并跟踪FTP连接，除了FTP的相应模块，还要有NAT的模块。任何的NAT helper名字都是以ip_nat_开头的，这是个命名习惯：FTP NAT helper叫做ip_nat_ftp，IRC的相应模块就是ip_nat_irc。conntrack helper 的命名也遵循相同的习惯：针对IRC的conntrack helper叫ip_conntrack_irc，FTP的叫作ip_conntrack_ftp。