Как работает механизм определения состояний в netfilter?

Механизм определения состояний (state machine, connection tracking) в netfilter — это система трассировки соединений, которая позволяет определить, к какому соединению или сеансу принадлежит пакет. ru.wikipedia.org

Механизм анализирует все пакеты, кроме тех, которые были помечены NOTRACK в таблице raw. ru.wikipedia.org Состояние пакета определяется на основе анализа заголовков передаваемого TCP-пакета. www.k-max.name

Каждый пакет, проходящий через механизм определения состояний, может иметь одно из четырёх возможных состояний: ru.wikipedia.org

1. NEW — пакет открывает новый сеанс. ru.wikipedia.org Классический пример — пакет TCP с флагом SYN. ru.wikipedia.org
2. ESTABLISHED — пакет является частью уже существующего сеанса. ru.wikipedia.org
3. RELATED — пакет открывает новый сеанс, связанный с уже открытым сеансом. ru.wikipedia.org Например, во время сеанса пассивного FTP клиент подсоединяется к порту 21 сервера, сервер сообщает клиенту номер второго, случайно выбранного порта, после чего клиент подсоединяется ко второму порту для передачи файлов. ru.wikipedia.org
4. INVALID — все прочие пакеты. ru.wikipedia.org

Классификация пакетов во многих случаях отличается от официального описания сетевых протоколов. ru.wikipedia.org Например, согласно netfilter, TCP пакет ACK, отвечающий на SYN — часть существующего сеанса, а по определению TCP такой пакет — всего лишь элемент открытия сеанса. ru.wikipedia.org