Iptables：“-p udp --state ESTABLISHED”

因此，iptables 基本上会记住用于传出数据包的端口号（对于 UDP 数据包，它还能记住什么？），

我非常确定 UDP 的源和目标端口和地址都已存储。

如果您想检查状态表，请安装 conntrack 和/或 netstat-nat。

（如果我意外地尝试在时间范围内启动该端口上的服务，会发生什么情况 - 该尝试会被拒绝/阻止吗？）

由于您使用的是 OUTPUT 和 INPUT，因此您谈论的是本地服务。端口已被使用，我认为您的系统不会允许您启动另一个服务，因为某些服务已经在侦听该端口。我想，如果您真的想这样做，您可以停止第一个服务并启动另一个服务，在这种情况下，响应可能会到达您的服务。服务对数据包的操作取决于数据包的内容以及它是什么服务。

注意：该答案已被编辑。

尽管手册页上说了什么，但ESTABLISHED似乎意味着“有状态”。对于 UDP，这仅仅意味着（如您所建议的）记住每个出站 UDP 数据包（“源 ip、源端口 目标 ip、目标端口”三元组）一段时间并识别其响应。

仅供参考，我对 DNS 流量的正常规则如下：

# permit any outbound DNS request (NB: TCP required too)
iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53  -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 53  -j ACCEPT

# accept any packet that's a response to anything we sent
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

即控制OUTPUT链上的流量，然后让iptables状态模块处理链上的所有其他事情INPUT。

也可以看看这个相关问题。

iptables 开发人员认为，无论两个客户端之间的协议是什么，当在两个方向上都可以看见数据包时，就会出现“ESTABLISHED”状态。

状态扩展是 conntrack 的一部分。内核通过表来理解状态

/proc/net/nf_conntrack

从发送方角度看，表 nf_conntrack 中 UDP 的 iptable 状态示例。假设您在 UDP 上发送 DNS 查询

udp   17 20 src=192.168.1.2 dst=192.168.1.10 sport=35237 dport=53 \
 [UNREPLIED] src=192.168.1.10 dst=192.168.1.2 sport=53 \
 dport=35237 use=1

数据包已发送。它未回复，哦，表中有预期返回的数据（DNS 应答的数据包）。

udp   17 20 src=192.168.1.2 dst=192.168.1.10 sport=35237 dport=53 \
  src=192.168.1.10 dst=192.168.1.2 sport=53 \
 dport=35237 use=1

回复已到达，未回复标志消失，这意味着此 UDP 连接在系统定义的一小段时间内处于 ESTABLISHED 状态。

这是关于 UDP 的一个常见误解，大多数人会混淆无状态和无连接。UDP 是无连接的，但其会话存储在 TCPIP 堆栈的会话表中，iptables 和 conntrack 也使用该会话表。