1. 首页
  2. 文章中心
  3. IPTABLES

iptables的状态检测机制(TCP、UDP、ICMP状态详解)

81 阅读 0 评论
我是靠谱客的博主 妩媚黑裤,最近开发中收集的这篇文章主要介绍iptables的状态检测机制(TCP、UDP、ICMP状态详解),觉得挺不错的,现在分享给大家,希望可以做个参考。

概述



1、UDP连接连接  


  UDP(用户数据包协议)是一种无状态协议,以为这个协议没有序列号。不过,这并不意味着我们不能跟踪UDP连接。虽然没有序列号,但是我们还可以使用其它的一些信息跟踪UDP连接的状态。下面是状态表中关于UDP连接的条目:  

 udp 17 19 src=192.168.1.2 dst=192.168.1.50 sport=1032 dport=53 [UNREPLIED] src=192.168.1.50 dst=192.168.1.2 sport=53 dport=1032 use=1  

 这个状态表项只有在iptables过滤规则允许建立新的连接时,才能建立。以下的规则可以产生这类状态表项,这两条规则只允许向外的UDP连接:  

iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT   

iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT   

上面的状态表项包含如下信息:

        连接的协议是UDP(IP协议号17)

 这个状态表项还有19秒中就超时


2、TCP连接

iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT


################


Iptables中的有状态
现在我们来解释一下状态 
NEW:如果你的主机向远程机器发时一个连接请求,这个数据包状态是NEW. 
ESTABLISHED:当联接建立之后,远程主机和你主机通信数据状态为ESTABLISHED 
RELATED: 像ftp这样的服务,用21端口传送命令,而用20端口(port模式)或其他端口(PASV模式)传送数据。在已有21端口上建立好连接后发送命令,用20传送的数据,状态是RELATED 

1, 默认规则,对所以进入你机器的数据都丢弃,iptables -P INPUT DROP 
2, 禁止其他机器主动发起对你机器的连接,但你却可以主动的连接其他机器, 这条可以省去由默认规则处理,iptables -A INPUT -m state --state NEW -j DROP 
3, 当你主动连接其他机器之后,再进来的数据就是ESTABLISHED状态了,iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
4, 接下来如果你的机器提供pasv模式的ftp服务(会使用动态的端口来传送数据,这对于有状态的防火墙轻易做到,甚至不用知道它用了哪些端口,因为它会认识到这些数据是RELATED的), 
iptables -A INPUT -i ppp0 -p tcp -dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -dport 21 -j ACCEPT 
两条命令就解决了内部用户上网收发E_mail、浏览网页、使用msn聊天等需求
#iptables –A FORWARD –i eth0 –p tcp –m multiport --dports 25,80,110,443,1863 –j ACCEPT
#iptables –A FORWARD –i eth0 –p udp --dport 53 –j ACCEPTIptables中的有状态
现在我们来解释一下状态 
NEW:如果你的主机向远程机器发时一个连接请求,这个数据包状态是NEW. 
ESTABLISHED:当联接建立之后,远程主机和你主机通信数据状态为ESTABLISHED 
RELATED: 像ftp这样的服务,用21端口传送命令,而用20端口(port模式)或其他端口(PASV模式)传送数据。在已有21端口上建立好连接后发送命令,用20传送的数据,状态是RELATED 

1, 默认规则,对所以进入你机器的数据都丢弃,iptables -P INPUT DROP 
2, 禁止其他机器主动发起对你机器的连接,但你却可以主动的连接其他机器, 这条可以省去由默认规则处理,iptables -A INPUT -m state --state NEW -j DROP 
3, 当你主动连接其他机器之后,再进来的数据就是ESTABLISHED状态了,iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
4, 接下来如果你的机器提供pasv模式的ftp服务(会使用动态的端口来传送数据,这对于有状态的防火墙轻易做到,甚至不用知道它用了哪些端口,因为它会认识到这些数据是RELATED的), 
iptables -A INPUT -i ppp0 -p tcp -dport 21 -j ACCEPT
iptables -A INPUT -i ppp0 -p udp -dport 21 -j ACCEPT 
两条命令就解决了内部用户上网收发E_mail、浏览网页、使用msn聊天等需求
#iptables –A FORWARD –i eth0 –p tcp –m multiport --dports 25,80,110,443,1863 –j ACCEPT
#iptables –A FORWARD –i eth0 –p udp --dport 53 –j ACCEPT


 


最后

以上就是妩媚黑裤为你收集整理的iptables的状态检测机制(TCP、UDP、ICMP状态详解)的全部内容,希望文章能够帮你解决iptables的状态检测机制(TCP、UDP、ICMP状态详解)所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(54)

相关文章

TCP协议的KeepAlive机制与HeartBeat心跳包
TCP协议的KeepAlive机制与HeartBeat心跳包
TCP keepalive的详解(解惑)1. SO_KEEPALIVE 的作用2.设置TCP KEEPALIVE3.为什么应用层需要heart beat/心跳包?参考
TCP keepalive的详解(解惑)1. SO_KEEPALIVE 的作用2.设置TCP KEEPALIVE3.为什么应用层需要heart beat/心跳包?参考
TCP的KeepAlive机制
TCP的KeepAlive机制
andorid 判断网络是否断开_Wireshark网络分析(五)TCP keepalive保活机制分析
andorid 判断网络是否断开_Wireshark网络分析(五)TCP keepalive保活机制分析
iptables的状态检测机制(TCP、UDP、ICMP状态详解)
iptables的状态检测机制(TCP、UDP、ICMP状态详解)
高性能高可用MySQL(主从同步,读写分离,分库分表,去中心化,虚拟IP,心跳机制)高性能高可用MySQL(主从同步,读写分离,分库分表,去中心化,虚拟IP,心跳机制)1、面试题2、mysql分区的数据类型一、主从同步(详细看上一篇博客) 二.mycat:
高性能高可用MySQL(主从同步,读写分离,分库分表,去中心化,虚拟IP,心跳机制)高性能高可用MySQL(主从同步,读写分离,分库分表,去中心化,虚拟IP,心跳机制)1、面试题2、mysql分区的数据类型一、主从同步(详细看上一篇博客) 二.mycat:
C# Socket 长连接设置Keepalive
C# Socket 长连接设置Keepalive
C# Socket进程通信- - - -长连接实现方式的理解(Tcp)
C# Socket进程通信- - - -长连接实现方式的理解(Tcp)

评论列表共有 0 条评论

立即
投稿
返回
顶部