iptables状态检测

原创

1066875821 2015-05-11 22:58:07 博主文章分类：linux 服务器架设 ©著作权

©著作权归作者所有：来自51CTO博客作者1066875821的原创作品，请联系作者获取转载授权，否则将追究法律责任

iptables状态检测

iptables状态检测是一种扩展匹配中的显式扩展，用于检测会话之间的连接关系的，有了检测我们可以实现会话间功能的扩展

什么是状态检测？

每个建立的连接包括以下信息：源IP地址、目标IP地址、源端口和目的端口，这叫一对套接字对(socket ); 协议类型、连接状态(TCP协议)和超时时间等信息。防火墙把这些信息叫作状态(stateful)，能够检测每个连接状态的防火墙叫作带状态检测的包过滤防火墙；它除了能够完成简单包过滤防火墙的包过滤工作外，还在自己的内存中维护一个跟踪连接状态的表，比简单包过滤防火墙具有更大的安全性。

对于整个TCP协议来讲，它是一个有连接的协议，

在tcp的三次握手中：

NEW: 新建立的连接，连接追踪模板中无相应的条目时，客户端第一次发出的请求；（tcp三次握手中的第一次握手）

ESTABLISHED：NEW状态之后，边距追踪模板中的条目删除之前所进行的通信过程，都称为ESTABLISHED；（tcp的第二次第三次握手，叫做已建立的连接（ESTABLISHED））

INVALID：还有一种状态，比较诡异的，比如：SYN=1 ACK=1 RST=1,对于这种我们无法识别的，我们都称之为INVALID无法识别的

RELATED：表示发起一个新的连接，但是这个连接和一个现有的连接有关

-m state扩展

启用连接追踪模板记录连接，并根据连接匹配连接状态的扩展；

专用选项：

--state STATE

示例：放行访问本机22，80端口的服务

# iptables -t filter -I INPUT-d 172.16.6.61 -p tcp -m multiport --dports 22,80 -m state --state NEW,ESTABLISHED -j ACCEPT

# iptables -t filter -IOUTPUT -s 172.16.6.61 -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT

调整连接追踪功能所能容纳的连接的最大数目：

/proc/sys/net/nf_conntrack_max

当前追踪的所有连接：

/proc/net/nf_conntrack

[root@localhost ~]# cat/proc/net/nf_conntrack

ipv4 2 tcp 6 29 TIME_WAIT src=172.16.6.62 dst=172.16.6.61 sport=41644 dport=22 src=172.16.6.61dst=172.16.6.62 sport=22 dport=41644 [ASSURED] mark=0 secmark=0 use=2

ipv4 2 icmp 1 29 src=172.16.6.62 dst=172.16.6.61 type=8 code=0 id=20325src=172.16.6.61 dst=172.16.6.62 type=0 code=0 id=20325 mark=0 secmark=0 use=2

ipv4 2 tcp 6 299 ESTABLISHED src=172.16.6.61dst=172.16.6.11 sport=22 dport=63572 src=172.16.6.11 dst=172.16.6.61sport=63572 dport=22 [ASSURED] mark=0 secmark=0 use=2