LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 1144|回复: 6

弱IPtables问题[求助]

[复制链接]
发表于 2007-5-11 22:01:37 | 显示全部楼层 |阅读模式
iptables -A INPUT -p tcp -[color="Red"]m state --state RELATED,ESTABLISHED -j ACCEPT


刚开始学习iptables.  在一份网络教程中,解释是“状态追踪”。可在现实应用中,一直没体会到它真正的作用。谁能帮助一下我,尤其是红色部分,怎么理解?
发表于 2007-5-11 23:29:46 | 显示全部楼层
看看这个教程吧。说的很详细。
http://iptables-tutorial.frozent ... rial-cn-1.1.19.html
其中的状态机制。
回复 支持 反对

使用道具 举报

发表于 2007-5-12 21:00:06 | 显示全部楼层
你试试,如果不写这句,你是无法访问外网的(如果你的INPUT缺省策略是DROP的话)
回复 支持 反对

使用道具 举报

发表于 2007-5-13 17:34:46 | 显示全部楼层
找Linux Firewalls, Third Edition这个本看看,你就会知道它的作用啦。。。
回复 支持 反对

使用道具 举报

发表于 2007-5-14 13:53:29 | 显示全部楼层
简单的说:内网访问外部无限制,但外部缺省的策略是DROP,这个时候会产生什么情况呢?从内到外的连接(TCP握手)被放出去,而外部应答的包却不允许进入,从而导致 TCP 连接不完整,不能有效开始一个会话。
ESTABLISHED 是解决这个问题的。


RELATED 好像专门针对ftp主动模式的21命令通道开启后20数据端口,当然也有其他类似机制,我不知道而已。
回复 支持 反对

使用道具 举报

发表于 2007-5-15 22:52:48 | 显示全部楼层
还是了解下tcp/ip的握手机制~~~
回复 支持 反对

使用道具 举报

发表于 2007-5-16 13:17:08 | 显示全部楼层
你用的 --state 是表示连接状态的参数
ESTABLISHED:
是这样的一种状态:有接受有发送,是两个方向上的数据传输

RELATED:
我也不太清楚,只知道当一个连接和一个已知的连接有关系时,
比如:ftp的数据连接和ftp的控制连接之间
在建立好ftp的控制连接为ESTABLISHED以后再新开一个ftp的数据连接,这两个连接之间就是RELATED的关系

不当之处还请各位指正
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表