Находим “зависшие” соединения, тормозящие систему: Если NAT таблица близка к заполнению, ищем давно неактивные, но живые соединения: conntrack -L | awk '$7 ~ /^[0-9]+$/ && $7 > 300' Отслеживаем, какие соединения используют определённый SNAT-адрес: Когда у сервера несколько внешних IP, вы можете выяснить, какой SNAT-адрес используется каким клиентом: conntrack -L -p tcp | grep dnat Для анализа поведение клиентов внутри кластера: смотрим, какие IP активны в текущий момент и на какие порты ходят. Полезно при отладке балансировщиков: conntrack -L | grep 'ESTABLISHED' | awk '{print $5}' | sort | uniq -c | sort -nr Реагирование на создание соединений (в т.ч. блокировка или логирование): conntrackd + ulogd или conntrack-tools позволяют подписываться на события. Можно, например, логировать все NEW-соединения с редких портов или даже отправлять webhook для SIEM-системы. Мониторинг DDoS или сканирование по количеству открытых соединений: если у одного IP одновременно больше 200 ESTABLISHED — это повод насторожиться: conntrack -L | grep ESTABLISHED | awk '{print $5}' | sort | uniq -c | sort -nr | head