我尝试为 MTA 设置 iptable 规则。由于此 MTA 仅用于接收电子邮件,因此我允许从任何端口到目标端口 25 的输入数据包(状态为 new 或 established),并且只允许从源端口 25 输出状态为 established 的数据包。我没有拒绝数据包,而是记录了那些可能被拒绝的数据包。我在日志中观察到一些真正的数据包可能被阻止。这些数据包实际上是传输的最后一个数据包(即设置了 ACK PSH FIN 标志的数据包)。
我错过了什么?
答案1
这些可能是状态已被删除的数据包,例如重复的 FIN 数据包或由于不活动而状态被删除后到达的数据包。或者可能根本没有状态,这只是某种端口扫描(TCP FIN 扫描 - 请参阅https://nmap.org/book/scan-methods-null-fin-xmas-scan.html)