Das neue Connection Tracking Framework hielt Einzug in den Hauptzweig des Kernels 2.6.
Bereits im Mai dieses Jahres [a 0.8167]attestierte[/a] das IPv6 Ready Logo Programm dem Linux-Kernel eine »IPv6 Ready Phase-1«-Funktionalität.
Dabei wurde dem Kernel die Eignung als Host und auch als Router bescheinigt. Was allerdings vor allem bei Server-Betreibern fehlte, war die aus dem Kernelbaum 2.4 bekannte »Stateful connection tracking«-Funktion. Nun wird aller Voraussicht nach bereits die kommende Version des Kernels über das Filter-Verfahren verfügen.
Im Gegensatz zu der statischen Methode des Filterns der Header eines Paketes stellt das »Stateful connection tracking«, eine Abwandlung des dynamischen Filterns, eine flexiblere Methode dar, Firewalls abzusichern. Wie bereits bei der dynamischen Variante öffnet der Stateful-Filter bestimmte Ports des Systems, falls eine Verbindung gebraucht wird, und schließt sie wieder. Hierbei berücksichtigt der Filter die Eigenschaften eines Protokolls und passt die Filterregeln an die protokollspezifischen Anforderungen an. Unter anderem prüft das System die Pakete nach den Zuständen der TCP-Connection. Wenn die Prüfung ergibt, dass eine Verbindung legitim ist, wird diese in eine Verbindungstabelle aufgenommen. Folgepakete werden nun einfach daraufhin überprüft, ob sie einer auf diese Weise überprüften Verbindung angehören.