防火墙iptables的一个有些难度的问题(虚心请教高手)

VO小新

最近在研究iptables看到这么句话
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "NEW not syn:"

有些疑惑了啊 这里的--syn就是相当于"-- tcp-flags SYN,RST,ACK SYN"的简写,我一直是认为就是表示新建TCP连接包的意思,而 --state NEW有解释说NEW为该包想要开始一个连接(重新连接或将连接重定向).我个人为人新建一个连接就是相当于TCP包开头SYN要置1啊,但是怎么这里用了"! --syn"和 "--state NEW"也就是后面log里面注解的 NEW not syn,想请问下syn和NEW到底有什么区别那?或者说这句iptables到底记录的是怎么样子的包啊???
懂的高手不吝赐教啊,小弟这里谢过了   

JohnBull

网管的意思是如果来了一个TCP报文,以前却没有经过第一次握手,就LOG下来.

VO小新

[quote]原帖由 "JohnBull"]网管的意思是如果来了一个TCP报文,以前却没有经过第一次握手,就LOG下来.[/quote 发表：


新的TCP报文连接不是都要经过3步握手的嘛???

JohnBull

换句话说:如果一个TCP报文不隶属于现有任何连接,而且又不是第一次握手,就LOG之,换作我的话,直接DROP之.
原因可能是丢包,指纹检测....

要掌握网络安全,首先得训练自己的想象力.

lichin

我觉得是这样吧：如果来一个TCP封包，是第一次握手，即状态是NEW的，但是封包头缺少syn标志的，就把它记录下来。这个在Oskar Andreasson的iptables指南中有提到。

VO小新

原帖由 "JohnBull" 发表：
换句话说:如果一个TCP报文不隶属于现有任何连接,而且又不是第一次握手,就LOG之,换作我的话,直接DROP之.
原因可能是丢包,指纹检测....

要掌握网络安全,首先得训练自己的想象力.

恩 解释的很透彻我了解你的意思了.还有你说的"要掌握网络安全,首先得训练自己的想象力",听起来很受用啊谢谢了

VO小新

[quote]原帖由 "lichin"]我觉得是这样吧：如果来一个TCP封包，是第一次握手，即状态是NEW的，但是封包头缺少syn标志的，就把它记录下来。这个在Oskar Andreasson的iptables指南中有提到。[/quote 发表：


恩 你说的是不是和JohnBull一个意思啊, 但是我怎么感到你说的有些第一次握手怎么可能syn是置0的那???我从JohnBull说的理解来看,就是说NEW是不属于现在存在的任何一个TCP连接,但是又不是一个主动syn的握手连接,可能是以前TCP连接时候丢的包延迟再传回来了,你认为乃?

zerohv

为什么第一个包就一定要是syn包呢，可以是一个构造的ack包嘛，还可以是其它标记的。当然这个包是要不在当前状态表中的，也就是NEW