iptables 的 ESTABLISHED,RELATED - Linux

※ 引述《ZFang (無格調)》之銘言：
: 請教 各位大大
: iptables 的 -m conntrack --ctstate ESTABLISHED,RELATED
: 是否可解釋成「回應封包」，並延伸推測以下結論：
: 「有回應表示有來源，若來源是被信任的，則回應也是可以被信任的。」
: 小弟希望能開放 ntpdate, yum 等。
: 就拿 ntpdate 來說，光開對象 port 123 並不能正常更新時間，
: 嘗試開放 ESTABLISHED,RELATED 則一切順暢。
: yum 部分，查了一下資料，都說有開對象 port 80 就可以，
: 但小弟執行 yum search *** 也是卡住。
: 同樣嘗試開放 ESTABLISHED,RELATED 也是一切順暢。
: 不知道這中間是否還有什麼環節沒搞清楚。
: 還請各位不吝指導。
: 謝謝

簡單的說就是連線跟其他條件有關的

假設你的規則是設定

1: -m xxxxxx ESTABLISHED, RELATED -j ACCEPT
2: # for FTP
3: -p tcp --dport 21 -j ACCEPT
4: # for yum
5: -t tcp --sport 80 -j ACCETP

當 yum 連線進來第一次會 match(第5行) --sport 80, 於是就 ACCPET
第二次當其他相關連線進來的時候, 因為 "曾經" match 過,
所以 ESTABLISHED (第1行) 就通過.

當 ftp 連線進來會 match(第3行) --dport 21, 於是就 ACCEPT
當 ftp-data 進來, 這條連線跟某些規則(這範例就是第三行) "有關係",
所以 RELATED (第1行) 就通過.

解釋是這樣的, 詳細你要用 netstat 去看所謂的連線狀態才對.

FYI

--