Linux学习98 Linux防火墙iptables扩展匹配进阶

Posted 2020-12-07 Presley

一、iptables扩展模块（续）

　　1、state

　　　　a、The "state" extension is a subset of the "conntrack" module."state" allows access to the connection tracking state for this packet。我们可以基于连接追踪功能查看报文当前所处的状态。即假如我们一次web请求如果使用短连接的话，我们一个客户端来一次访问先三次握手，获取完资源后再四次断开，过一会儿等客户端再来访问时我们的服务器知不知道这个家伙曾经来访问过呢？我们抛开http协议不谈，只谈网络层和传输层，我们服务器有没有办法追踪此前这个连接客户端是否曾经访问过呢？这个是没有办法的，默认情况下我们客户端断开再次连接后我们服务器端会以新的连接来对待它。

　　　　b、[1] --state state

　　　　　　（1）、INVALID，ESTABLISHED，NEW，RELATED or UNTARCKED.

　　　　　　（2）、NEW：新连接请求

　　　　　　（3）、ESTABLISHED：已建立的连接

　　　　　　（4）、INVALID：无法识别的连接

　　　　　　（5）、RELATED：相关联的连接，当前连接是一个新请求，但附属于某个已存在的连接

　　　　　　（6）、UNTRACKED：未追踪的连接；

　　　　　　（7）、state扩展：

　　　　　　　　1）、内核模块装载

　　　　　　　　　　nf_conntrack

　　　　　　　　　　nf_conntrack_ipv4

　　　　　　　　2）、手动装载

　　　　　　　　　　nf_conntrack_ftp

　　　　c、追踪到的连接

　　　　　　（1）、/proc/net/nf_conntrack

　　　　d、调整可记录的连接数的最大值

02:06