Portál AbcLinuxu, 26. dubna 2024 04:54
iptables --policy FORWARD DROP iptables --policy OUTPUT ACCEPT iptables --policy INPUT DROP iptables --table filter --append INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT iptables --table filter --append INPUT --match state --state INVALID --jump DROP iptables --table filter --append INPUT --in-interface lo --jump ACCEPT iptables --table filter --append INPUT --protocol TCP --match multiport --destination-port 25,80,443 --jump ACCEPTa teraz som našiel niekoľko návodov kde je pri stavoch -m conntrack --ctstate a ja netuším prečo. Apropo, musí (malo by) byť pri ostatných pravidlách stav "--match state --state NEW"? Podľa môjho skromného laického názoru keď mám poriešený ESTABLISHED,RELATED,INVALID v dvoch úvodných pravidlách, tak mi do zvyšných môže ísť už len NEW - alebo sa mýlim? Vopred vám veľmi pekne ďakujem.
a teraz som našiel niekoľko návodov kde je pri stavoch -m conntrack --ctstate a ja netuším prečo.
Modul (iptables modul) conntrack je novější a obecnější než původní state. V aktuálních verzích iptables už je "-m state" automaticky překládáno na použití "-m conntrack". Je možné, že někdy v budoucnu nebude původní syntaxe podporována, ale spíš bych tipoval, že se to nechá být a zanikne to v rámci přechodu na nftables.
keď mám poriešený ESTABLISHED,RELATED,INVALID v dvoch úvodných pravidlách, tak mi do zvyšných môže ísť už len NEW - alebo sa mýlim?
Teoreticky ještě může stav být UNTRACKED, ale to se nestane samo od sebe a kdybyste používal "-j CT --notrack" (nebo "-j NOTRACK"), asi byste o tom věděl.
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.