Механизм определения состояний (state machine, connection tracking) в netfilter — это система трассировки соединений, которая позволяет определить, к какому соединению или сеансу принадлежит пакет. 2

Механизм анализирует все пакеты, кроме тех, которые были помечены NOTRACK в таблице raw. 2 Состояние пакета определяется на основе анализа заголовков передаваемого TCP-пакета. 3

Каждый пакет, проходящий через механизм определения состояний, может иметь одно из четырёх возможных состояний: 2

1. NEW — пакет открывает новый сеанс. 2 Классический пример — пакет TCP с флагом SYN. 2
2. ESTABLISHED — пакет является частью уже существующего сеанса. 2
3. RELATED — пакет открывает новый сеанс, связанный с уже открытым сеансом. 2 Например, во время сеанса пассивного FTP клиент подсоединяется к порту 21 сервера, сервер сообщает клиенту номер второго, случайно выбранного порта, после чего клиент подсоединяется ко второму порту для передачи файлов. 2
4. INVALID — все прочие пакеты. 2

Классификация пакетов во многих случаях отличается от официального описания сетевых протоколов. 2 Например, согласно netfilter, TCP пакет ACK, отвечающий на SYN — часть существующего сеанса, а по определению TCP такой пакет — всего лишь элемент открытия сеанса. 2