флаги iptables TCP

Question

Я начинающий с iptables и сетей, поэтому, пожалуйста, извините меня за такие вопросы для начинающих.

Я нашел в Интернете часть фильтрации искаженных пакетов:

/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL SYN -m state --state NEW -j RETURN

Но, насколько я знаю, первый (новый) пакет должен содержать флаг SYN, и это правило будет препятствовать новым соединениям? Или я неправильно это понимаю?

И что будет происходить после применения следующих правил?

/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL RST,ACK,PSH
/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL RST,ACK,URG
/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL RST,ACK,PSH,URG
/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL FIN,PSH,ACK,URG
/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL ACK,URG
/usr/bin/sudo /sbin/iptables -A tcpchk -p tcp --tcp-flags ALL ACK,URG,FIN

Если я прав, то нет никаких действий? iptables проверит вышеуказанные флаги и просто перейдет к следующим правилам, верно?

Answer 1

Во втором примере ничего не происходит, поэтому он ничего не делает, кроме статистических данных.

iptables -xvn -L tcpchk

ALL SYN совпадает с установленными соединениями, а пинки устанавливают соединение из цепочки tcpchk и обратно в ее родительскую цепочку, предположительно INPUT. -J RETURN возвращает пакет родителю.

Правило не вызовет сбоя, потому что оно на самом деле ничего не пропускает и не отклоняет.