通常,出站连接需要连接跟踪,以允许已建立的连接重新进入,例如:
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
我的服务器上没有启用连接跟踪,所以我想知道是否有其他规则或解决方案?
答案1
iptables -A INPUT -p tcp ! --syn -j ACCEPT将允许任何非 SYN TCP 数据包通过。它不会为您提供 RELATED(即由于其他连接而允许的连接,例如 ftp->ftp-data),也不会丢弃未正确建立的连接,但如果出现意外情况,linux 将不会对其采取任何措施 - 它会被丢弃到地面。如果您需要 UDP,那么枚举允许的连接将非常有趣。