iptables的状态检测机制

　2006-04-03 12:37:11　来源：WEB开发网　　　

核心提示： 60 SECS, /* TCP_CONNTRACK_CLOSE_WAIT, */ 30 SECS, /* TCP_CONNTRACK_LAST_ACK, */ 2 MINS, /* TCP_CONNTRACK_LISTEN, */ }; 2.3.4.连接的中断关闭一个TCP连接可以有两种

60 SECS, /* TCP_CONNTRACK_CLOSE_WAIT, */

30 SECS, /* TCP_CONNTRACK_LAST_ACK, */

2 MINS, /* TCP_CONNTRACK_LISTEN, */

};

2.3.4.连接的中断

关闭一个TCP连接可以有两种方式。第一种类似于建立TCP连接的三次握手。一旦一个TCP会话完成，要终止会话的一方首先发出一个FIN为1的分组。接收方TCP确认这个FIN分组，并同志自己这边的应用程序不要在接收数据了。这个过程可以如下所示：

Client Server

.........

FIN+ACK --->

<--- ACK

<--- FIN+ACK

ACK --->

在这个过程之中或者之后，状态表的连接状态变为TIME_WAIT。在默认情况下，2分钟之后从状态表删除。

除此之外，还有其它关闭中断的方式。TCP会话的任何一方发出一个RST标志为1的分组，可以快速断开一个TCP连接。而且，RST分组不需要应答。在这种情况下，状态表项的状态变为CLOSE，10秒之后被删除。和http连接经常通过这种方式中断，如果一个连接很长时间没有请求了，服务器端就会发出一个 RST分组中断连接。

2.4.ICMP

在iptables看来，只有四种ICMP分组，这些分组类型可以被归为NEW、ESTABLISHED两类：

ECHO请求(ping,8)和ECHO应答(pong,0)。

时间戳请求(13)和应答(14)。

信息请求(15)和应答(16)。

地址掩码请求(17)和应答(18)。

这些ICMP分组类型中，请求分组属于NEW，应答分组属于ESTABLISHED。而其它类型的ICMP分组不基于请求/应答方式，一律被归入RELATED。

我们先看一个简单的例子：

iptables -A OUTPUT -p icmp -m state --state NEW,ESTABLISHED, RELATED -j ACCEPT

上一页 1 2 3 4 5 6 7 8 下一页