示例：

iptables -A INPUT -d 172.16.1.10 -p tcp -m multiport –dports 22,80 -m state —

state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -s 172.16.1.10 -p tcp -m multiport –sports 22,80 -m state —

state ESTABLISHED -j ACCEPT

已经追踪到的并记录下来的连接信息库

/proc/net/nf_conntrack

调整连接追踪功能所能够容纳的最大连接数量

/proc/sys/net/nf_conntrack_max

不同的协议的连接追踪时长

/proc/sys/net/netfilter/

注意：CentOS7 需要加载模块： modprobe nf_conntrack