在iptables中,ctstate(或更常见的,通过state模块来指定)用于匹配数据包的连接跟踪(connection tracking)状态。连接跟踪是netfilter的一个模块,用于跟踪所有经过系统的网络连接的状态。 ctstate new的具体作用 当ctstate new被用作iptables规则的一部分时,它用于匹配那些尚未被连接跟踪系统记录为新连接的第一包(即,那些...
在netfilter/iptables时代,可以通过启用state(状态)模决来解决这样的问题,它主要由xt_state.ko模块提供。 需要注意的是在标准和tcp/ip规范中,连接状态分为12种,详情可以参考RFC文档(http://www.ietf.org/rfc/rfc793.txt)。而iptables中的连接状态只有4种,分别是ESTABLISHED、NEW、RELATED、INVALID。不能将TCP/IP规...
这个match必须有-m state作为前提 才能使用。状态机制的详细内容在章节状态机制 中。 Table 6-13. State matches Match--stateExampleiptables -A INPUT -m state --state RELATED,ESTABLISHEDExplanation指定要匹配包的的状态,当前有4种状态可用:INVALID,ESTABLISHED,NEW和RELATED。 INVALID意味着这个包没有已知的流或...
-m state --state NEW/ESTABLISHED/RELATED/INVALID NEW:状态的数据包说明这个数据包是收到的第一个数据包。比如收到一个SYN数据包,它是连接的第一个数据包,就会匹配NEW状态。第一个包也可能不是SYN包,但它仍会被认为是NEW状态。 ESTABLISHED:只要发送并接到应答,一个数据连接就从NEW变为ESTABLISHED,而且该状态...
这里state是一个逗号分割的匹配连接状态列表。可能的状态是:INVALID表示包是未知连接,ESTABLISHED表示是双向传送的连接,NEW表示包为新的连接,否则是非双向传送的,而RELATED表示包由新连接开始,但是和一个已存在的连接在一起,如FTP数据传送,或者一个ICMP错误。 unclean 此模块没有可选项,不过它试着匹配那些奇怪的、不常...
--statestate --state state_value1[,state_value2...] 此模块与连接跟踪结合使用,可以访问此数据包的连接跟踪状态。 其中状态值是要匹配的连接状态,多个状态列表以逗号分隔。 可选的状态值有:INVALID,ESTABLISHED ,NEW ,RELATED 1. INVALID 意味着由于某种原因无法识别数据包,包括内存不足和与任何已知连接不对应...
ctstate的有效值 INVALID,意味着数据包与已知的连接没有关联。 NEW,意味着该数据包已启动一个新连接,或与未在两个方向上看到数据包的连接相关联。 ESTABLISHED,意味着该数据包与看到两个方向的数据包的连接相关联。 RELATED,意味着数据包正在启动新连接,但与现有连接相关联,例如FTP数据传输或ICMP错误。
NEW 意味着该信息包已经或将启动新的连接,或者它与尚未用于发送和接收信息包的连接相关联。 RELATED 表示该信息包正在启动新连接,以及它与已建立的连接相关联。 [root@localhost ~]#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT ...
[!] --state state : 其中state是一个逗号分隔的连接状态列表,以便匹配。 可能的状态是INVALID,意味着由于某些原因导致数据包不能被识别,包括内存不足和与任何已知连接不对应的ICMP错误,ESTABLISHED意味着数据包与已经在两者中看到数据包的连接相关联 方向,NEW表示数据包已经开始了新的连接,或以其他方式与两个方向上...