iptables：NEW、ESTABLISHED、RELATEDパケットの違い

サーバーとクライアントの両方でINPUTを制限し、OUTPUTを開くと想定します。

_iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
_

そして iptables-extensions（8） から、アクティブモードでのFTPの例について：

1。 NEW

NEWパケットは新しい接続を開始したか、または双方向でパケットを確認していない接続に関連付けられています。

ポート_50000_（任意の非特権ポート）上のクライアントは、ポート_21_上のFTPサーバーに接続します。サーバーは、この着信接続を受け入れるために少なくともこれが必要です。

_iptables -A INPUT --dport 21 -m state --state NEW -j ACCEPT
_

2。 ESTABLISHED

ESTABLISHEDパケットは、双方向でパケットを見た接続に関連付けられています。

クライアント側で、ローカルポート_21_を使用してポート_50000_でサーバーへの発信接続を開き、server (21)からclient (50000)：

_Sudo iptables -A INPUT -m state --state ESTABLISHED -j ACCEPT
_

3。関連

RELATEDパケットは新しい接続を開始していますが、FTPデータ転送やICMPエラーなどの既存の接続に関連付けられています。

FTP接続が確立され、データ接続が実行されようとすると、クライアントはポート_60000_でサーバーソケットを開きます（はい、アクティブなFTPクライアントがデータ接続のサーバーになります）（私の理解に）クライアントはこのポートに_60000_をRELATEDとして_50000->21_）から他の接続にマークし、FTP PORTコマンドを使用してこのポート番号をサーバーに送信します。次に、FTPサーバーは、クライアントのポート_20_からポート_60000_への新しい接続を開きます。この新しい接続を成功させるには、クライアントで次のことが必要になります。

_Sudo iptables -A INPUT -m state --state RELATED -j ACCEPT
_

最後に、これが機能するためには、システムが接続/パッケージをRELATEDとしてマークできるように_ip_conntrack_ftp_カーネルモジュールを有効にする必要があります（これは私の理解ですが、あまり深く掘り下げていません）。

_modprobe ip_conntrack_ftp
_