На странице руководства iptables-extensions можно сказать о расширении conntrack (выделено мной):
Этот модуль в сочетании с отслеживанием соединения обеспечивает доступ к состоянию отслеживания соединения для данного пакета / соединения.
Я думал, что conntrack это отслеживание соединения?
Почему на странице руководства написано "в сочетании с отслеживанием соединения"?
Если conntrack не отслеживает соединение, то что это?
Что такое "другое" отслеживание соединения? Откуда это взялось?
Отслеживание соединения уже записывает информацию о отслеживаемых соединениях, например, связано ли одно соединение с другим (например, новое соединение FTP DATA связано с существующим сеансом FTP, даже если оно подключено к другому порту).
Расширение conntrack iptables предоставляет дополнительные критерии, которые можно использовать в правилах iptables для соответствия отслеживаемому состоянию, например, пропуская эти связанные соединения.
Если вы не используете расширение conntrack тогда ядро все еще отслеживает соединения (если загружены соответствующие модули ядра), но эта информация отслеживания остается неиспользованной, поскольку она не будет проверяться никакими правилами iptables.
По сути, вся система отслеживания соединений разделена на две части: бит в ядре, которое выполняет фактическое отслеживание, и бит в iptables, который проверяет информацию отслеживания из ядра и решает, пропустить ли данный пакет или нет.
Это немного упрощает, но, надеюсь, объясняет это в общих чертах.
