Início / unix / Perguntas / 432625
Accepted
Martin
Asked: 2018-03-22 08:34:45 +0800 CST

Vantagem de usar "--syn" para combinar novas conexões TCP

  • 772

Eu vi uma técnica semelhante usada em vários iptablesexemplos para combinar novas conexões:

-A INPUT -p tcp -m tcp --dport 443 --syn -m conntrack --ctstate NEW -j SSH

Como visto acima, as conexões TCP são verificadas em relação aos sinalizadores TCP (SYN deve ser 1 e RST, ACK e FIN 0) por tcpmódulo além --ctstate NEWdo conntrackmódulo. Oferece alguma vantagem sobre isso:

-A INPUT -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j SSH

Minha suposição é que sim porque os módulos de correspondência são avaliados na ordem em que são especificados na regra e sem --syn, todos os pacotes TCP para a porta 443 seriam passados ​​de tcpmódulo para conntrackmódulo. Em outras palavras, --syndeve fornecer esse paradigma fail-fast.

tcp iptables

1 respostas

  1. Best Answer

    Em outras palavras, --syndeve fornecer esse paradigma fail-fast.

    É basicamente isso. Na prática, é o mecanismo de extensão que está em curto-circuito; a página de manual diz

    As correspondências são avaliadas da primeira à última conforme especificado na linha de comando e funcionam em modo de curto-circuito, ou seja, se uma extensão resultar em falso, a avaliação será interrompida.

    No caso acima, a regra utiliza duas extensões: a tcpextensão, que processa --dporte --syn, seguida da conntrackextensão, que processa --ctstate. Se a tcpextensão não corresponder, a conntrackextensão será totalmente ignorada.

    • 3

relate perguntas