我正在寻找一种在 iptables-rules 中获取上下文/状态的方法。我不是在这里谈论会话的上下文(新的,已建立的,...)。
例如
Request to port 80 => PASS + set CONTEXT to 1
Request to port 88 and CONTEXT is 1 => PASS
因此,这是一种对过去的简单记忆的机制。
现有的扩展有可能吗?
AskOverflow.Dev
recent匹配(作为匹配是非常非标准的iptables:它可以用于检查或更改信息)可用于您的目的:现在肯定需要更多的管道,包括使用选项之类的选项或
--seconds带有选项的附加规则,--remove或者“上下文”将永远保持不变。这一切都取决于你所追求的实际不为人知的目标。对于更复杂的设置,
iptables使用ipsetmatchset和SETtarget 进行交互可能会有所帮助(它是 的超集recent)。如果您需要它来进行端口敲击,则可以使用特定的
pknock匹配项xtables-addons(通常需要编译,因为它与外部内核模块一起提供),但也可以考虑使用fwknop.