iptables：“-p udp --state已建立”

让我们看一下这两个iptables规则，这些规则通常用于允许传出DNS：

iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53 
   -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p udp --sport 53 --dport 1024:65535
   -m state --state ESTABLISHED -j ACCEPT

我的问题是：我应该如何确切地理解UDP中的ESTABLISHED状态？UDP是无状态的。

这是我的直觉-我想知道这是否不正确：

手册页告诉我：

州

与连接跟踪结合使用时，该模块可以访问
此数据包的连接跟踪状态。

  -状态...

因此，iptables基本上会记住用于传出数据包的端口号（对于UDP数据包还能记住什么？），然后允许在短时间内发送回的第一个传入数据包？攻击者必须猜测端口号（这真的太难吗？）

关于避免冲突：

内核跟踪哪些端口被阻塞（被其他服务或先前的传出UDP数据包阻止），以便这些端口在该时间范围内不用于新的传出DNS数据包？（如果我不小心尝试在该时间范围内在该端口上启动服务，将会发生什么情况？该尝试会被拒绝/阻止吗？）

请在上面的文本中找到所有错误：-)谢谢，

克里斯

因此，iptables基本上会记住用于传出数据包的端口号（对于UDP数据包还能记住什么？），

我非常确定对于UDP，源端口和目标端口以及地址都已存储。

如果要检查状态表，请安装conntrack和/或netstat-nat。

（如果我不小心尝试在该时间范围内在该端口上启动服务，将会发生什么情况？该尝试会被拒绝/阻止吗？）

由于您正在使用OUTPUT和INPUT，因此您正在谈论本地服务。该端口已被使用我不相信您的系统会允许您启动另一个服务，因为某些内容已经在该端口上进行监听。我想如果您确实愿意，可以停止第一个服务，然后再启动另一个服务，在这种情况下，响应可能会到达您的服务。服务对数据包的处理方式取决于数据包的内容以及服务的内容。

注意：此答案已被编辑。

尽管手册页说了什么，但ESTABLISHED似乎表示“有状态”。对于UDP，这只是意味着（按照您的建议）记住一段时间的每个出站UDP数据包（“ src ip，src端口dst ip，dst端口”元组）并识别其响应。

FWIW，我对DNS流量的一般规则是这样的：

# permit any outbound DNS request (NB: TCP required too)
iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53  -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 53  -j ACCEPT

# accept any packet that's a response to anything we sent
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

即控制OUTPUT链上的流量，然后让iptables状态模块处理INPUT链上的所有其他内容。

另请参阅此相关问题。

iptables开发人员认为，无论两个客户端之间的协议如何，都可以在两个方向上看到数据包的情况是“已建立”状态。

状态扩展名是conntrack的一部分。内核从表中了解状态

/proc/net/nf_conntrack

从发送者的角度来看，表nf_conntrack中UDP的iptable状态示例。假设您在UDP上发送了DNS查询

udp   17 20 src=192.168.1.2 dst=192.168.1.10 sport=35237 dport=53 \
 [UNREPLIED] src=192.168.1.10 dst=192.168.1.2 sport=53 \
 dport=35237 use=1

数据包已发送。它没有回复，哦，该表具有返回所期望的数据（DNS应答的数据包）。

udp   17 20 src=192.168.1.2 dst=192.168.1.10 sport=35237 dport=53 \
  src=192.168.1.10 dst=192.168.1.2 sport=53 \
 dport=35237 use=1

答复到达，未答复标志消失，这意味着该UDP连接在系统中定义的少量时间内处于ESTABLISHED状态。