В брандмауэре iptables есть модуль состояний
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
или модуль conntrack.
iptables -I INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
Кажется, оба работают одинаково. В чем разница? Я читал, что conntrack может увеличивать размеры таблиц и уменьшать таймауты https://www.projectcalico.org/when-linux-conntrack-is-no-longer-your-friend/, и я также читал, что состояние передается из цепочки предварительной маршрутизации в цепочку вывода https://www.linuxtopia.org/Linux_Firewall_iptables/c1265.html, но ведет ли conntrack себя тот же самый. Просто интересно, одинаковы ли эти два разных способа написания?