Что происходит, если я опускаю состояние «-m» в правилах iptables?

Он автоматически принимает пакеты из всех состояний? На этом примечании, в чем разница между:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT 

а также

 iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT 

и что рекомендуется для повседневного использования?

Кроме того, я viewел, что некоторые люди используют нотацию «-p tcp -m tcp», а некоторые просто ставят «-p tcp». Правильно ли поставить «-m tcp» сразу после указания протокола?

Я впервые настраиваю iptables, и я хочу осознавать все, что я делаю.

Когда в команде iptables есть -m <match> , вы указываете, что command может использовать функции из этого модуля для проверки / сопоставления с определенными propertiesми пакета. -m state пожалуй, является наиболее распространенным, но в iptables имеется множество интересных состязаний, для выполнения таких задач, как ограничение скорости, квоты и т. д., и вы можете find обзор того, что доступно здесь , организованное именами совпадающих.

Вы найдете описания для -m tcp и -m state в том же документе, а раздел -m conntrack имеет хорошее описание того, что означают названия состояний. Короче говоря, NEW,ESTABLISHED означает inputящие requestы на connection и inputящие пакеты, связанные с трафиком, идущим в обоих направлениях, то есть установленное connection. Если вы вообще не указали какое-либо состояние, то iptables не будет различать NEW,ESTABLISHED и другие состояния INVALID,RELATED,UNTRACKED и просто разрешить всем inputящим пакетам в порт 22.

Для регулярного использования мне нравится быть точным в отношении того, что я допускаю, поэтому я обычно использую --state NEW,ESTABLISHED , хотя, на мой взгляд, это не совсем необходимо.

Для -m tcp вы можете viewеть из связанной документации, что она дает дополнительные сокеты, связанные с TCP, такие как --tcp-flags . Как я знаю, вам это не нужно для --source-port/--sport или --dest-port/--dport , поэтому в большинстве случаев это избыточно.

  • ограничение rangeа ip на serverе openvpn
  • Движение EC2 между узлами
  • sflow для анализа брандмауэра
  • Правило брандмауэра Один из способов smb в двух сетях
  • Подведение итогов существующего брандмауэра ASA
  • Медленный доступ к websiteу из Китая
  • Не удается upload некоторые fileы с данного serverа.
  • TCP / IP-порты, необходимые для работы CIFS / SMB
  • Как отkeyить доступ к DNS-serverу из Интерlessа, оставив интраnetworking без изменений? Использование iptables
  • Cisco AS5505 - насколько надежна максимальная пропускная способность
  • Могу ли я использовать iptables, Shorewall и ipset в одно и то же time?
  • Давайте будем гением компьютера.