防火墙iptables的一个有些难度的问题(虚心请教高手)

最近在研究iptables看到这么句话
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j LOG 
--log-prefix "NEW not syn:"

有些疑惑了啊 这里的--syn就是相当于"-- tcp-flags SYN,RST,ACK SYN"的简写,我一直是认为就是表示新建TCP连接包的意思,而 --state NEW有解释说NEW为该包想要开始一个连接(重新连接或将连接重定向).我个人为人新建一个连接就是相当于TCP包开头SYN要置1啊,但是怎么这里用了"! --syn"和 "--state NEW"也就是后面log里面注解的 NEW not syn,想请问下syn和NEW到底有什么区别那?或者说这句iptables到底记录的是怎么样子的包啊??? 
懂的高手不吝赐教啊,小弟这里谢过了 :)  :lol:

JohnBull 回复于：2004-02-01 17:46:06

网管的意思是如果来了一个TCP报文,以前却没有经过第一次握手,就LOG下来.

VO小新 回复于：2004-02-01 19:19:59

[quote:9e623ef065="JohnBull"]网管的意思是如果来了一个TCP报文,以前却没有经过第一次握手,就LOG下来.[/quote:9e623ef065] 新的TCP报文连接不是都要经过3步握手的嘛???

JohnBull 回复于：2004-02-01 20:32:54

换句话说:如果一个TCP报文不隶属于现有任何连接,而且又不是第一次握手,就LOG之,换作我的话,直接DROP之. 原因可能是丢包,指纹检测.... 要掌握网络安全,首先得训练自己的想象力.

lichin 回复于：2004-02-01 20:59:37

我觉得是这样吧：如果来一个TCP封包，是第一次握手，即状态是NEW的，但是封包头缺少syn标志的，就把它记录下来。这个在Oskar Andreasson的iptables指南中有提到。

VO小新 回复于：2004-02-01 21:57:54

[quote:9ad669f778="JohnBull"]换句话说:如果一个TCP报文不隶属于现有任何连接,而且又不是第一次握手,就LOG之,换作我的话,直接DROP之. 原因可能是丢包,指纹检测.... 要掌握网络安全,首先得训练自己的想象力.[/quote:9ad669f778] 恩 解释的很透彻我了解你的意思了.还有你说的"要掌握网络安全,首先得训练自己的想象力",听起来很受用啊谢谢了 :D

VO小新 回复于：2004-02-01 22:02:09

[quote:eclearcase/" target="_blank" >cc4cd38c4="lichin"]我觉得是这样吧：如果来一个TCP封包，是第一次握手，即状态是NEW的，但是封包头缺少syn标志的，就把它记录下来。这个在Oskar Andreasson的iptables指南中有提到。[/quote:ecc4cd38c4] 恩 你说的是不是和JohnBull一个意思啊, 但是我怎么感到你说的有些第一次握手怎么可能syn是置0的那???我从JohnBull说的理解来看,就是说NEW是不属于现在存在的任何一个TCP连接,但是又不是一个主动syn的握手连接,可能是以前TCP连接时候丢的包延迟再传回来了,你认为乃?

zerohv 回复于：2004-04-10 08:52:51

为什么第一个包就一定要是syn包呢，可以是一个构造的ack包嘛，还可以是其它标记的。当然这个包是要不在当前状态表中的，也就是NEW

原文转自：http://www.ltesting.net