Iptables 状态跟踪

tag-icon tag-icon linux iptables fedora
Iptables 状态跟踪

我刚刚接管了运行 Fedora Core 12 的防火墙盒的相当复杂的防火墙规则集的管理,但有一件事让我感到困惑。

当我从网络外部在网关上运行 nmap 时,我看到了所有预期的服务,但也看到了端口 111 上的 sunrpc。INPUT 链设置了 DEFAULT DROP,并且没有允许端口 111 的规则。据我所知(在扫描之前/期间/之后观察数据包计数器),它被规则允许:“-m state --state RELATED,ESTABLISHED -j ACCEPT”,但我不明白为什么全新的 TCP 连接会被视为 RELATED 或 ESTABLISHED。

任何建议将不胜感激。

编辑:

Conntrack 模块:

nf_conntrack_netlink    14925  0 
nfnetlink               3479  1 nf_conntrack_netlink
nf_conntrack_irc        5206  1 nf_nat_irc
nf_conntrack_proto_udplite     3138  0 
nf_conntrack_h323      62110  1 nf_nat_h323
nf_conntrack_proto_dccp     6878  0 
nf_conntrack_sip       16921  1 nf_nat_sip
nf_conntrack_proto_sctp    11131  0 
nf_conntrack_pptp      10673  1 nf_nat_pptp
nf_conntrack_sane       5458  0 
nf_conntrack_proto_gre     6574  1 nf_conntrack_pptp
nf_conntrack_amanda     2796  1 nf_nat_amanda
nf_conntrack_ftp       11741  1 nf_nat_ftp
nf_conntrack_tftp       4665  1 nf_nat_tftp
nf_conntrack_netbios_ns     1534  0 
nf_conntrack_ipv6      18504  2 
ipv6                  279399  40 ip6t_REJECT,nf_conntrack_ipv6

过滤表上的 INPUT 链:

-A INPUT -s 192.168.200.10/32 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 
-A INPUT -s 127.0.0.0/8 -i lo -j ACCEPT 
-A INPUT -p udp -m udp --sport 67:68 --dport 67:68 -j ACCEPT 
-A INPUT -d 192.168.200.5/32 -i eth0 -j ACCEPT 
-A INPUT -d 192.168.1.2/32 -i eth0 -j ACCEPT 
-A INPUT -d {public_ip}/32 -i ppp0 -p tcp -m multiport --dports 22,80,443 -j ACCEPT 
-A INPUT -d {public_ip}/32 -i ppp0 -p tcp -m multiport --sports 22,25,80,443 -j ACCEPT 
-A INPUT -d {public_ip}/32 -i ppp0 -p udp -m udp --dport 1194 -j ACCEPT 
-A INPUT -d {public_ip}/32 -i ppp0 -p udp -m udp --sport 1194 -j ACCEPT 
-A INPUT -d {public_ip}/32 -i ppp0 -p udp -m multiport --sports 53,123 -j ACCEPT 
-A INPUT -d {public_ip}/32 -i ppp0 -p icmp -m icmp --icmp-type 8 -j ACCEPT 
-A INPUT -i eth0 -m state --state NEW -j ACCEPT 
-A INPUT -d {public_ip}/32 -m state --state NEW -j ACCEPT 
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

eth0 连接到内部网络,eth3 以桥接模式连接到 ADSL 调制解调器,ppp0 是通过 eth3 建立隧道的 WAN 连接。

答案1

-A INPUT -d {public_ip}/32 -m state --state NEW -j ACCEPT

这说明“接受所有新连接”,这就是全部内容。

如果您想自己诊断,请查看扫描前后的 iptables 计数器。您不仅会看到规则增加,还会注意到它允许大量新连接进入。

相关内容