Arasındaki fark nedir:
iptables ... -m state --state NEW
ve
iptables ... --syn
Birincisi YENİ bağlantılar seçmeli, ancak AFAIK yeni bağlantılar bir TCP senkron işareti gönderilerek yapılır. Diğeri, sadece bu - syn bayrağı olan paketler anlamına gelir.
Yukarıdaki komutlar farklı sonuçlar verdiğinde pratik örnekler verebilir misiniz?
Yanıtlar:
--synBayrak TCP trafiğini kontrol etmek için yararlıdır, ama NEWdurum diğer (içeren bir protokol kullanılabilir TCP) gibi UDPve ICMP. Bunun TCP seçeneğinden NEWdaha genel olduğunu söyleyebilirim --syn.
İptables kılavuzundan şunları okuyabilirsiniz:
NEW meaning that the packet has started a new connection,
or otherwise associated with a connection which has not seen packets in both directions
Örnek olarak, bir DNS isteği NEWdurumla eşleşir , ancak bir kuralı --synseçeneğiyle eşleştirmez . Basitçe, bir UDP datagramıdır.
Ayrıca, --synseçenek, hatalı bayrak kombinasyonuna sahip TCP paketlerini düşürmek için kontrol etmek için kullanılabilir.
Ayrıca, ilk paket olarak NEWTCP akışlarını kontrol etmek --synve aşağıdaki gibi bırakmak için bu seçeneklerin her ikisini birlikte kullanabilirsiniz :
$ sudo iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
Burada, bu tür paketleri, bad_tcp_packetsbırakılması / günlüğe kaydedilmesi vb. Olarak adlandırılan kullanıcı tanımlı bir zincire ekliyoruz ...