Open vSwitchのconntrack連携を試してみた(その1) - Qiitaうわっ・・私のnf_conntrack力、低すぎ・・? と思うくらい、これまでiptablesとか使わずにOpen vSwitchのみで弊社クラウドサービスの仮想スイッチを実装をしてきたわけですが、、 最近、Open vSwitchにてNetfilter conntrack(以下nf_conntrack)とのインテグレーションが開発されているそうです。 nf_conntrackは、Linux上で動作するモジュールで、パケットフィルタにステート管理を実装するための機能です。iptablesで使われている方も多いと思いますが、以下のようなことが実現できます。 ステートフルインスペクション 自身から発した通信の戻りパケットを自動的に許可する NAPT(Network Address Port Translation) ALG(アプリケーションゲートウェイ) NAPTに加えFTPなどペイロード内の
