关于iptables的状态检测

swcims

在iptables中可以配置：
iptables -A FORWARD -m state --state NEW -j DROP
iptables -A FORWARD -m state --state ESTABLISHE,RELATED -j ACCEPT
请问这种状态是不是一定要保持到过期时间？
例如对于一个建立成功的HTTP，在保持连接过程中，再加一条规则：
iptables -I FORWARD -p tcp --dport 80 -j DROP
HTTP连接会不会马上断开？还是等到超时才能断？
主要想搞清楚：netfilter会不会记住包的状态？如果是Related或Established的包，是不是不用再做filter检查，而是直接采取之前的包的处理方法？
谢谢！

platinum

原帖由 swcims 于 2006-3-28 17:04 发表
例如对于一个建立成功的HTTP，在保持连接过程中，再加一条规则：
iptables -I FORWARD -p tcp --dport 80 -j DROP
HTTP连接会不会马上断开？还是等到超时才能断？

为什么自己不试试呢？

swcims

谢谢两位，我暂时没设备测试
曾经看过netfilter的介绍文章，说：netfilter只对第一个包进行filter的处理，如果后续的包属于第一个包的Related或established状态，则对它的处理和第一个包一样，直到超时。
所以，我假设内部有一台PC通过Linux网关去pptp之类的。我在Linux网关的做了pptp的passthrough，这时PC可以进行pptp了。然后，我在Linux上对pptp 的passthrough进行drop操作。问题来了：这时的pptp还没断开，Linux看来，相关的包都是related或established的状态。根据上面的理论，Linux对它们做同样的处理－ACCEPT。那岂不是drop操作要等超时才能起作用？
判指教，谢谢！

bleach

我用SSH测试了一下
一个同事用SSH通过网关连公网服务器 我在网关上执行
iptables -I FORWARD -p tcp --dport 22 -j DROP
SSH连接马上终止
网关是状态防火墙关闭对内NEW状态连接 不知道符合不符合你的要测试的环境

swcims

谢谢Bleach大侠，不知你的Linux网关中有没有这句：
iptables -A FORWARD -m state --state ESTABLISHE,RELATED -j ACCEPT
其实我的想证明这个理论是否正确：
netfilter只对第一个包进行filter的处理，如果后续的包属于第一个包的Related或established状态，则对它的处理和第一个包一样，直到超时。
如果真是正确的，很多passthrough在关闭时也不会马上drop掉，而是等到超时。如果这样，这就是netfilter本身的问题了。

bleach

原帖由 swcims 于 2006-3-29 10:02 发表
谢谢Bleach大侠，不知你的Linux网关中有没有这句：
iptables -A FORWARD -m state --state ESTABLISHE,RELATED -j ACCEPT
其实我的想证明这个理论是否正确：
netfilter只对第一个包进行filter的处理，如果后续 ...

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 3000 -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j MIRROR