iptables connection tracking

El subsistema iptables (encargado de las tareas de filtrado y procesado de paquetes IP a nivel del kernel, para kernels >=2.4) es un cortafuegos con estado. Eso significa que puede recordar una conexión y facilitar la generación de reglas.

Sin embargo, el número de conexiones simultáneas que puede gestionar en un determinado momento no es ilimitada. ¿Cuantas? Depende de la memoria y de la configuración, pero lo podemos saber muy facilmente mirando /proc/sys/net/ipv4/ipconntrackmax.

¿Y cuantas están utilizadas actualmente? También es sencillo. Se crea una entrada para cada conexión (con los detalles) en /proc/net/ipconntrack. Una linea por conexión. Tan sólo tenemos que ejecutar wc /proc/net/ipconntrack. El primer número es el de las conexiones actuales.

Estos valores normalmente no importan en máquinas individuales, pero son cruciales en cortafuegos con bastante carga (puede incluso obligarnos a no usar conntrack por insuficientes recursos).