Linux系统运维的防火墙状态机制

　　状态机制，其实，对于状态机制是iptables中特殊的一部分,连接跟踪可以让Netfilter知道某个特定连接的状态意行连接跟踪的防火墙称为“带有状态机制的防火墙”,以下简称为“状态防火墙”。

　　状态防火比非状态防火墙要安全,因为它允许编写更严密的规则。在iptables中,包和被跟踪连接的种不同状态有关,即NEW、ESTABLISHED、RELATED和INVALID。NEW说明这个包,即conntrack模块看到的某个连接第1个包,它即将被匹配比如看到一个SYN包,是所所留意的连接的第1个包,就要匹配它。

　　(1)NEW。第1个包也可能不是SYN包,但它仍会被认为是NEW状态。

　　(2)ESTABLISHED。ESTABLISHED已经注意到两个方向上的数据传输,而且会继续匹配这个连接的包。处于该状态的连接很容易理解,只要发送并接到应答,连接即为ESTABLISHED状态。一个连接要从NEW变为ESTABLISHED,只需接到应答包即可。而忽略这个包是发往防火墙的,还是要由防火墙墙转发的问题。ICMP的错误和重定向等信息包也被看作ESTABLISHED,只要它们是所发出的信息的应答。

　　(3)RELATED。RELATED是一个比较麻烦的状态,当一个连接和某个已处于ESTABLISHED状态的连接有关系时,被认为是该状态。即一个连接要想是RELATED的,首先要有一个ESTABLISHED的连接。这个连接再产生一个主连接之外的连接,即RELATED,前提是conntrack模块要能理解RELATED。FTP 服务器是个很好的例子,ftp-data连接。

　　(4)INVALID。INVALID说明数据包不能被识别属于哪个连接或没有任何状态,有多个原FTP--control有RELATED的因可以产生这种情况,如内存溢出及收到不知属于哪个连接的ICMP错误信息。一般丢弃这些状态可以一起使用,以匹配数据包,从而使防火墙强壮和有效。以前经常打开1024(DROP)这个状态的任何内容。

　　小编结语：其实，对于上述讲述的所有端口来放行应答的数据,现在有了状态机制不需如此。因为可以只开放那些有应答的端口,其他都可以关闭,这样就安全多了。