iptables是带有状态机制的防火墙,可以跟踪连接状态,我们可以根据状态编写更细致的规则。 iptables可以跟踪一下四种状态:

  • NEW 客户端向服务端主机发出一个连接请求,该数据包的状态就是NEW
  • ESTABLISHED 连接建立后,使用该连接通信的数据包的状态就是ESTABLISHED
  • RELATED: 该数据包正在启动新的连接,它还和某个已经处于ESTABLISHED状态的连接有关系
  • INVALID 表示该数据包与任何已知的连接都不关联,数据包可能包含错误的头和数据,即无效的数据包,通常这种状态的数据包会被丢弃

例如:

1iptables -A INPUT -m state --state NEW -j DROP

这条规则表示不允许其他主机建立到这台主机的连接

参考