MoonSweep's questions

现在有一段时间（我相信在 1.3 版中引入），iptables' conntrack模块可以跟踪两个虚拟状态，SNAT 和 DNAT：

SNAT 一种虚拟状态，如果原始源地址与回复目标不同，则匹配。DNAT 一个虚拟状态，如果原始目的地与回复源不同，则匹配。

在我的路由器/防火墙主机上，我有一些 SNAT 规则，如下所示：

# SNAT
iptables -t filter -A FORWARD -i $FROM_IFACE -o $TO_IFACE -s $FROM_IP -d $TO_IP -m conntrack --ctstate NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -i $TO_IFACE -o $FROM_IFACE -s $TO_IP -d $FROM_IP -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o $TO_IFACE -s $FROM_IP -d $TO_IP -j SNAT --to-source $SNAT_IP

# DNAT
iptables -t nat -A PREROUTING -i $FROM_IFACE -d $FROM_IP -p $PROTO --dport $PORT -j DNAT --to-destination $TO_IP
iptables -t filter -A FORWARD -i $FROM_IFACE -o $TO_IFACE -d $TO_IP -p $PROTO --dport $PORT -j ACCEPT
iptables -t filter -A FORWARD -i $TO_IFACE -o $FROM_IFACE -s $TO_IP -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

经过一番谷歌搜索后，我找不到任何iptables使用这些“新”SNAT或DNAT状态的规则示例，但我还是尝试ESTABLISHED,RELATED用SNATor替换DNAT，如下所示：

# SNAT
iptables -t filter -A FORWARD -i $FROM_IFACE -o $TO_IFACE -s $FROM_IP -d $TO_IP -m conntrack --ctstate NEW,SNAT -j ACCEPT
iptables -t filter -A FORWARD -i $TO_IFACE -o $FROM_IFACE -s $TO_IP -d $FROM_IP -m conntrack --ctstate SNAT -j ACCEPT
iptables -t nat -A POSTROUTING -o $TO_IFACE -s $FROM_IP -d $TO_IP -j SNAT --to-source $SNAT_IP

# DNAT
iptables -t nat -A PREROUTING -i $FROM_IFACE -d $FROM_IP -p $PROTO --dport $PORT -j DNAT --to-destination $TO_IP
iptables -t filter -A FORWARD -i $FROM_IFACE -o $TO_IFACE -d $TO_IP -p $PROTO --dport $PORT -j ACCEPT
iptables -t filter -A FORWARD -i $TO_IFACE -o $FROM_IFACE -s $TO_IP -m conntrack --ctstate DNAT -j ACCEPT

它似乎有效，而且这种方法至少有一个我注意到的好处：我的防火墙曾经丢弃从我的内部主机到 Internet 的 RST 数据包（因为它们处于INVALID状态），但是使用这种新方法，它们被允许通过。

不幸的是，虽然方便，但我不确定这种方法是否真的合适，因为我对网络的理论知识不足以理解它是否过于宽松（即允许来自我的局域网外部的一些不需要的数据包到达内部）。

我想我的问题可以这样写：一个数据包可以有SNATorDNAT状态，而没有ESTABLISHEDorRELATED状态（显然，第一个有NEW状态的数据包除外）？

注意：我试图记录这样的数据包，但据我所知这是不可能的，因为iptables只接受一个--ctstate选项，并且!不能在其中使用（换句话说，我不能说，或者至少找不到方法来比如说，“记录有SNAT状态但没有ESTABLISHED状态的数据包RELATED”）。如果有另一种我没有想到的记录它们的方法，这也将非常受欢迎。

编辑 1：经过反复试验，我意识到我错了（因此是描边文本）：一些数据包仍处于状态INVALID，因此最终被丢弃。

编辑 2：如果使用SNAT/DNAT代替ESTABLISH,RELATED不安全，请提供一些具体示例，说明数据包可能处于前一种状态而不处于后一种状态。

要在 Linux 上启用串行控制台，可以使用getty（最常见的是它的变体agetty）。该二进制文件将初始化TERM变量的值作为参数。

在 Debian 上，使用 Sys V init，默认值为 vt100。使用 systemd，默认值曾经是vt102，现在是vt220。

在玩了一点 QEMU 虚拟机和virt-viewer命令virsh console之后，我注意到了一些事情：

• 使用vt100，ls --color显示颜色，但vim语法高亮不起作用
• 使用vt102或vt220，它们都不显示颜色
• 仅将TERM变量设置为linux，同时ls使用vim颜色

所以我猜想独立于实际的“颜色支持”，每个应用程序都会查看TERM变量并采取相应的行动，这将解释上面提到的差异。

阅读Serial Console HOWTO后，我了解到TERM变量的值应取决于将连接到串行端口的物理终端的实际型号，具体取决于其功能。

请注意，根据Lennart Poettering 的博客，TERM应该设置为linux，只有真正的虚拟终端（而不是串行终端）。另一方面，Arch Linux 的 Wiki似乎并不介意（请参阅/etc/inittab它建议的行）。

所以我的问题是：

在一般情况下，如果TERM变量在连接到功能较弱的终端（如 DEC VT100、VT102 或 VT220）或某些 RS-232 软件终端仿真器（如或）的控制台上设置为linux会发生什么？minicomtermite

更实际地（在我的特定情况下），是否可以在 QEMU VM 上的“虚拟”串行控制台中将TERM变量设置为linux，我将通过virt-viewer或连接到该控制台virsh console？