Как работает механизм отслеживания соединений в nftables?

Механизм отслеживания соединений в nftables работает с помощью системы Connection Tracking от netfilter (часто упоминается как conntrack или ct). wiki.nftables.org Она связывает сетевые пакеты с соединениями и состояниями этих соединений. wiki.nftables.org

Набор правил nftables выполняет брандмауэр с отслеживанием состояния, применяя политику на основе того, являются ли пакеты допустимыми частями отслеживаемых соединений. wiki.nftables.org

Также nftables часто выполняет перевод сетевого адреса с помощью механизма NAT от Netfilter, который построен на основе conntrack. wiki.nftables.org

Система conntrack распознаёт пакеты, которые являются ответами на существующее соединение. fedoramagazine.org Каждое соединение имеет своё состояние NAT, обратное преобразование выполняется автоматически. fedoramagazine.org

Для использования механизма отслеживания соединений в nftables в подходящем месте вставляются «правила трассировки», которые выбирают пакеты для трассировки. fedoramagazine.org