iproute2 工具與 conntrack 工具

我有一個 linux 盒子，它被設置為網路的防火牆/網關。只是想知道為什麼 ss 和其他 iproute2 工具顯示比 iptables conntrack 少得多。是因為路由器功能僅在核心中發生嗎？

ss -na

僅顯示兩個已建立的連接，其中

conntrack -L -n

顯示 18 個已建立的連接。

ss並netstat顯示在該主機上終止的連接，即由主機上的程序創建的傳出連接，或由主機上的程序處理的傳入連接。（從技術上講，這些向您展示了套接字。）conntrack顯示連接跟踪系統已知的連接，其中包括由該主機路由但未被該主機終止的連接。（僅用於路由的連接不存在套接字。）

引用自：https://serverfault.com/questions/404866