Я пытаюсь использовать iptables и ip6tables для установки базовой сетевой безопасности на моем веб-сервере. Тем не менее, мне трудно понять RELATED состояние модуля conntrack ... Я знаю, что пакет отслеживается как NEW когда он пытается установить новое соединение, и как ESTABLISHED когда он принадлежит предварительно установленному соединению ... Но я действительно не могу понять, в каких ситуациях пакет может быть помечен как RELATED (поскольку я знаю, что означает "определение" RELATED )... Кто-нибудь может помочь мне с этим?
1
1 ответ
0
Состояние RELATED означает, что пакет запускает новое соединение, но это соединение связано с существующим соединением. Классическим примером будет подключение для передачи данных FTP, которое соответствует существующему управляющему соединению FTP.
Это чаще всего используется в устройствах NAT, чтобы разрешить работу входящих подключений, когда существующие исходящие подключения дают понять, к какому внутреннему устройству должно подключаться подключение. Классический пример, где это необходимо, - ошибки ICMP "нет маршрута к хосту". Они не являются частью существующего соединения, потому что у них другой IP-адрес источника.