主页 / unix / 问题 / 541542
Accepted
lonix
Asked: 2019-09-14 01:53:52 +0800 CST

用于指定新连接的现代 iptables 语法

  • 772

我是 iptables 的新手,多年来对 CLI 的变化感到困惑。我看到很多例子似乎做同样的事情,但语法不同。

这些是否完全相同,或者它们之间是否存在细微差别:

  • -p tcp -m state --state NEW
  • -p tcp -m conntrack --ctstate NEW
  • -p tcp -m tcp --syn/-p tcp --syn

如果它们完全相同,我将使用-p tcp --syn,这将简化/缩短我的配置。

iptables

1 个回答

  1. Best Answer

    来自man iptables-extensions

    状态

    “state”扩展是“conntrack”模块的一个子集。“状态”允许访问此数据包的连接跟踪状态。

    [!] --state 状态

    其中 state 是要匹配的连接状态的逗号分隔列表。只有“conntrack”理解的状态子集被识别:INVALID、ESTABLISHED、NEW、RELATED 或 UNTRACKED。有关它们的描述,请参见本手册页中的“conntrack”标题。

    [...]

    连接轨道

    此模块与连接跟踪结合使用时,允许访问此数据包/连接的连接跟踪状态。

    [!] --ctstate 状态列表

    statelist 是要匹配的连接状态的逗号分隔列表。下面列出了可能的状态。[...]

    [...]

    tcp

    如果指定了 `--protocol tcp',则可以使用这些扩展。它提供以下选项:

    [!] --syn

    只匹配设置了 SYN 位并且清除了 ACK、RST 和 FIN 位的 TCP 数据包。此类数据包用于请求 TCP 连接启动;例如,阻止此类数据包进入接口将阻止传入的 TCP 连接,但传出的 TCP 连接将不受影响。

    所以前两个是等价的,最后一个做一些不同的事情(例如,你可以用它来阻止TCP 连接尝试)。

    • 1

相关问题