很多例子表明人们将保持状态与设置一起使用。例如:
ipfw add 1 allow tcp from any to me 22 setup keep-state
由于设置原因,此规则将仅允许 SYN 数据包,这些数据包是 TCP 握手中的第一个数据包。好的。
但是,为什么这如此必要呢?为什么不直接使用保持状态而不进行设置?有什么利润?
答案1
该setup参数与规则匹配的内容有关。在这种情况下,它与客户端向服务器发送 SYN 数据包的 TCP 3 次握手的第一个数据包相匹配。
参数keep-state是关于规则匹配后要做什么的指令。在这种情况下,它表示在发送第一个数据包后允许所有其他数据包。
该setup keep-state模式通常用于出站连接,而不是像本示例中那样用于入站连接。