Как iptables распознает пакетное состояние?

[12214]Без НОВЫХ правил ничего не зашивается в db и таким образом ESTABLISHED,RELATED никогда ни с чем не сравнится.[12215]Это ложь. [12216]Есть [11910]пять пользовательских состояний[11911] (в пространстве ядра их больше), и хотя ESTABLISHED или RELATED соединение логически должно начинаться с НОВОГО пакета, вам не нужно никакого явного НОВОГО правила для создания такого соединения (вам нужен явный ACCEPT, который [11912]неявно[11913] включает НОВЫЕ пакеты, однако). Следуйте логике и сначала рассмотрите остальные четыре состояния, например:[12217]Я пропустил NOTRACK, так как он может существовать только из-за предыдущего правила [11914]iptables[11915]. Угадайте, что осталось после применения этих правил? Только НОВЫЕ пакеты. Теперь вы можете сортировать их по своему усмотрению. Это сработает, я обещаю, и обратите внимание: [11916] вообще без новых правил [11917]. Никаких. [12218]Точно, как iptables производит маркировку пакетов, основываясь на состоянии пакета? [12219] Согласно [11920] предыдущей ссылке [11921], соединение устанавливается после отправки ответа. Очевидно, что природа протокола здесь немного играет на руку (ядро тоже применяет эти правила); например, когда принимается пакет NEW SYN TCP, в ответ посылается SYN/ACK и соединение ESTABLISHED; после финального FIN/ACK оно прекращает свое существование.[12220]То, как соединение считается RELATED, очевидно, зависит далее от используемого протокола; в основном, это относится к соединениям с/от хостов, которые уже имеют ESTABLISHED соединение. Обратите внимание, что иногда для этого необходимо загружать специальные модули (например, для ftp).