Как работает механизм отслеживания состояний в iptables?

Механизм отслеживания состояний в iptables позволяет рассматривать пакеты как часть текущего соединения или сеанса, а не как поток дискретных несвязанных пакетов. www.8host.com

Система сравнивает каждый пакет с набором существующих соединений. www.8host.com В случае необходимости она обновляет состояние подключения в своём хранилище и добавляет новые подключения. www.8host.com

Отслеживаемые соединения могут находиться в одном из четырёх состояний: www.opennet.ru protocols.ru

1. NEW. www.8host.com protocols.ru Если поступающий пакет не связан с существующим соединением, но может рассматриваться в качестве первого пакета, в систему добавляется новое соединение с этой меткой. www.8host.com
2. ESTABLISHED. www.8host.com protocols.ru Когда соединение получает ответ, состояние изменяется с NEW на ESTABLISHED. www.8host.com Для TCP-соединений это означает SYN/ACK, а для трафика UDP и ICMP это ответ, в котором меняются местами целевой и исходный адрес пакета. www.8host.com
3. RELATED. www.8host.com protocols.ru Пакеты, которые не являются частью существующего соединения, но связаны с соединением, уже находящимся в системе, помечены как RELATED. www.8host.com Это может быть вспомогательное соединение, как в случае с соединениями передачи данных по FTP, или ответ ICMP на попытки подключения другими протоколами. www.8host.com
4. INVALID. www.8host.com protocols.ru Пакеты могут быть помечены как INVALID, если они не связаны с существующим соединением и не подходят для создания нового соединения, если их нельзя идентифицировать или маршрутизировать по другим причинам. www.8host.com

Все функции контроля соединений осуществляются модулем ядра Linux conntrack. protocols.ru Этот модуль может быть загружаемым или встраивается в ядро в зависимости от выбранных опций компиляции ядра. protocols.ru