我正在學習如何在 ubuntu 伺服器上使用 iptables。
您能否向我解釋一下「允許建立的會話」是什麼意思以及為什麼我應該將其包含在規則中?
sudo iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
我了解允許特定連接埠並阻止其他連接埠的概念
sudo iptables -A INPUT -p tcp --dport ssh -j ACCEPT
阻止所有
sudo iptables -A INPUT -j DROP
但我不明白允許建立會話的概念。
謝謝。
S。
答案1
有些協定比「發送單一資料包作為請求,接收單一資料包作為回應」更複雜。ESTABLISHED處理單一連接埠上正在進行的事務(例如 HTTP keepalive),並RELATED處理不同連接埠上與現有事務相關的新交易。
答案2
僅使用最後 2 條規則,您將無法使用電腦上的任何用戶端,因為任何回應都會被丟棄。此外,SSH 伺服器的使用將不可靠,因為相關 ICMP 封包太大的錯誤將被丟棄。