正如我们已经知道的,目标是由规则指定的操作,以及与规则匹配的数据包执行这些操作。除了允许用户定义的目标之外,还有许多可用的目标选项。用于建立高级规则的目标,如日志、重定向、标记、镜像和伪装等。
国家机构
国家机构是iptables的一个特殊部分,
目标(目标)
正如我们已经知道的,目标是由规则指定的操作,以及与规则匹配的数据包执行这些操作。除了允许用户定义的目标之外,还有许多可用的目标选项。用于建立高级规则的目标,如日志、重定向、标记、镜像和伪装等。
国家机构
国家机构是iptables中特殊的一部分,但它不应该被称为一个国家的机制,因为它只是一个连接跟踪机制。然而,许多人认识到国家机构的名称。连接跟踪可以让Netfilter知道某个特定连接,T,咏猛刺谱刺李信将停止鹎的频率,惠普书韵阑鹎剑刺的刺剑阑鹎阑鹎奖W亲停止暴露在市刺鹎寨夷夏鼐作为潜锤墓碧街
在iptables,包就是追踪四种不同的状态有关。他们是新的,建立的,相关的,和无效的。利用状态匹配操作,我们可以很容易地控制谁或什么可以启动一个新会话;
所有的连接跟踪的具体框架Netfilter内核叫做连接跟踪(连接跟踪的缩写)。连接跟踪可以安装为一个模块作为内核的一部分。在大多数情况下,我们需要更详细的连接跟踪。因此,在连接跟踪,用于处理TCP、UDP多件,或ICMP协议。这些模块提取详细的和独特的数据包的信息,因此它可以跟踪每个数据流。这个信息也告诉了连接跟踪流的当前状态。例如,UDP流通常是由他们的目的地址,目的端口,确定源地址,源端口和。
在先前的内核,我们可以打开或关闭重构功能。然而,这个选项取消自iptables和Netfilter连接跟踪,尤其是引入内核。因为没有包装配置,连接跟踪无法正常工作。现在的重构已经集成到连接跟踪和自动启动的时候连接跟踪的开始。不要关闭重构功能除非你要关闭连接跟踪。
所有的连接痕迹是在PREROUTING链处理,除了本地产生的包是由输出链处理,这意味着美国将重新计算所有iptables在PREROUTING链。如果我们把一个流的初始化方案,国家将建立新的输出链。当我们收到的响应报文,状态将被设置为在PREROUTING链的建立。如果第一个包不是当地生产的,它将被设置在PREROUTING链作为一种新的状态。总之,状态的变化和计算都是在PREROUTING链和NAT表输出链。
如前所述,包的状态不同于IP中包含的协议,但在内核空间中只有4种状态,即用户空间、新的、已建立的、相关的和无效的,它们主要用于状态匹配。
新的
新的解释,这个包是第一包我们看到。这意味着这是一个连接,连接跟踪模块,看到的第一个数据包,它会匹配。例如,我们看到一个SYN包,我们注意到的第一个包匹配。第一包可能不是一个SYN包,但它仍然被认为是一个新的状态。
建立了
建立到数据传输的两个方向,并将继续配合连接的分组。在已建立的连接状态是很容易理解的。只要你发送和接收响应,建立连接。连接是由新成立的,只有收到响应报文,是否有数据包发送到防火墙或是由防火墙转发。信息包像ICMP错误和重定向也被看作是既定的,只要是我们发送的信息回答。
相关
关联是一种更麻烦的状态。当一个连接与一个处于既定状态的连接有关联时,它被认为是相关的。换句话说,一个连接需要关联,首先要建立一个已建立的连接。新的连接是相关的,当然,前提是连接跟踪模块可以理解related.ftp是一个很好的例子,和FTP数据连接FTP控制相关。
无效
无效显示数据包不能被标识为连接或没有状态。这有几个原因,如内存溢出和ICMP错误信息。
这些国家可以一起使用来匹配数据包。这能使我们的防火墙很强。在过去,我们经常打开1024的所有端口释放响应数据。现在,一个国家机构,它不需要是相同的。因为我们只能打开这些端口响应数据,别人可以关闭。这是一个很大的安全。
