iptables - разрешить установленные сеансы?

Question

Я учусь, как использовать iptables на сервере Ubuntu.

Не могли бы вы объяснить мне, что означает "Разрешить установленные сеансы" и почему я должен включить его в правила?

sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

Я понимаю концепцию разрешения определенных портов и блокирования других

sudo iptables -A INPUT -p tcp --dport ssh -j ACCEPT

заблокировать все

sudo iptables -A INPUT -j DROP

Но я не понимаю концепцию разрешения установленного сеанса.

Благодарю.

С.

Answer 1

Некоторые протоколы более сложны, чем «отправка одного пакета в качестве запроса, получение одного пакета в ответ». ESTABLISHED обрабатывает транзакции, которые обрабатываются на одном порту (например, HTTP keepalive), а RELATED обрабатывает новые транзакции на другом порту, которые связаны с существующей транзакцией.

Answer 2

Только с двумя последними правилами вы не сможете использовать любой клиент на компьютере, так как любой ответ будет отброшен. Кроме того, использование SSH-сервера будет ненадежным, так как связанные ICMP-пакеты будут пропускать слишком большие ошибки.