Re: [問題] iptables 的 ESTABLISHED,RELATED
※ 引述《ZFang (無格調)》之銘言:
: 請教 各位大大
: iptables 的 -m conntrack --ctstate ESTABLISHED,RELATED
: 是否可解釋成「回應封包」,並延伸推測以下結論:
: 「有回應表示有來源,若來源是被信任的,則回應也是可以被信任的。」
: 小弟希望能開放 ntpdate, yum 等。
: 就拿 ntpdate 來說,光開對象 port 123 並不能正常更新時間,
: 嘗試開放 ESTABLISHED,RELATED 則一切順暢。
: yum 部分,查了一下資料,都說有開對象 port 80 就可以,
: 但小弟執行 yum search *** 也是卡住。
: 同樣嘗試開放 ESTABLISHED,RELATED 也是一切順暢。
: 不知道這中間是否還有什麼環節沒搞清楚。
: 還請各位不吝指導。
: 謝謝
簡單的說就是連線跟其他條件有關的
假設你的規則是設定
1: -m xxxxxx ESTABLISHED, RELATED -j ACCEPT
2: # for FTP
3: -p tcp --dport 21 -j ACCEPT
4: # for yum
5: -t tcp --sport 80 -j ACCETP
當 yum 連線進來第一次會 match(第5行) --sport 80, 於是就 ACCPET
第二次當其他相關連線進來的時候, 因為 "曾經" match 過,
所以 ESTABLISHED (第1行) 就通過.
當 ftp 連線進來會 match(第3行) --dport 21, 於是就 ACCEPT
當 ftp-data 進來, 這條連線跟某些規則(這範例就是第三行) "有關係",
所以 RELATED (第1行) 就通過.
解釋是這樣的, 詳細你要用 netstat 去看所謂的連線狀態才對.
FYI
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 211.72.211.90
推
06/07 09:25, , 1F
06/07 09:25, 1F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 3 之 3 篇):