弱IPtables问题[求助]

luzx

iptables -A INPUT -p tcp -[color="Red"]m state --state RELATED,ESTABLISHED -j ACCEPT


刚开始学习iptables.  在一份网络教程中，解释是“状态追踪”。可在现实应用中，一直没体会到它真正的作用。谁能帮助一下我，尤其是红色部分，怎么理解？

火志溟

看看这个教程吧。说的很详细。
http://iptables-tutorial.frozent ... rial-cn-1.1.19.html
其中的状态机制。

springwind426

你试试，如果不写这句，你是无法访问外网的（如果你的INPUT缺省策略是DROP的话）

faint

找Linux Firewalls, Third Edition这个本看看，你就会知道它的作用啦。。。

bobkey

简单的说：内网访问外部无限制，但外部缺省的策略是DROP，这个时候会产生什么情况呢？从内到外的连接（TCP握手）被放出去，而外部应答的包却不允许进入，从而导致 TCP 连接不完整，不能有效开始一个会话。
ESTABLISHED 是解决这个问题的。


RELATED 好像专门针对ftp主动模式的21命令通道开启后20数据端口，当然也有其他类似机制，我不知道而已。

ykrocku

还是了解下tcp/ip的握手机制～～～

yexingok

你用的 --state 是表示连接状态的参数
ESTABLISHED：
是这样的一种状态：有接受有发送，是两个方向上的数据传输

RELATED：
我也不太清楚，只知道当一个连接和一个已知的连接有关系时，
比如：ftp的数据连接和ftp的控制连接之间
在建立好ftp的控制连接为ESTABLISHED以后再新开一个ftp的数据连接，这两个连接之间就是RELATED的关系

不当之处还请各位指正