4.3. 数据包在用户空间的状态

就象前面说的，包的状态依据IP所包含的协议不同而不同，但在内核外部，也就是用户空间里，只有4种状态：NEW，ESTABLISHED，RELATED 和INVALID。他们主要是和状态匹配一起使用。下面就简要地介绍以下这几种状态：

这些状态能够一起使用，以便匹配数据包。这能够使我们的防火墙很强壮和有效。以前，我们经常打开1024以上的任何端口来放行应答的数据。现在，有了状态机制，就不需再这样了。因为我们能够只开放那些有应答数据的端口，其他的都能够关闭。这样就安全多了。

4.4. TCP 连接

本节和下面的几节，我们来周详讨论这些状态，连同在TCP、UDP和ICMP这三种基本的协议里怎样操作他们。当然，也会讨论其他协议的情况。我们还是从TCP入手，因为他本身就是个带状态的协议，并且具备很多关于iptables状态机制的周详信息。

一个TCP连接是经过三次握手协商连接信息才建立起来的。整个会话由一个SYN包开始，然后是个 SYN/ACK包，最后是个ACK包，此时，会话才建立成功，能够发送数据。最大的问题在于连接跟踪怎样控制这个过程。其实很简单。

默认情况下，连接跟踪基本上对任何的连接类型做同样的操作。看看下面的图片，我们就能明白在连接的不同阶段，流是处于什么状态的。就如您看到的，连接跟踪的代码不是从用户的观点来看待TCP连接建立的流程的。连接跟踪一看到SYN包，就认为这个连接是NEW状态，一看到返回的SYN/ACK包，就认为连接是 ESTABLISHED状态。假如您仔细想想第二步，应该能理解为什么。有了这个特别处理，NEW和ESTABLISHED包就能够发送出本地网络，且只有ESTABLISHED的连接才能有回应信息。假如把整个建立连接的过程中传输的数据包都看作NEW，那么三次握手所用的包都是NEW状态的，这样我们就不能阻塞从外部到本地网络的连接了。因为即使连接是从外向内的，但他使用的包也是NEW状态的，而且为了其他连接能正常传输，我们不得不允许NEW状态的包返回并进入防火墙。更复杂的是，针对TCP连接内核使用了很多内部状态，他们的定义在 RFC 793 - Transmission Control Protocol的21-23页。但好在我们在用户空间用不到。后面我们会周详地介绍这些内容。

正如您看到的，以用户的观点来看，这是很简单的。但是，从内核的角度看这一块更有点困难的。我们来看一个例子。认真考虑一下在/proc/net/ip_conntrack里，连接的状态是如何改变的。

tcp      6 117 SYN_SENT src=192.168.1.5 dst=192.168.1.35 sport=1031      dport=23 [UNREPLIED] src=192.168.1.35 dst=192.168.1.5 sport=23      dport=1031 use=1

   

从上面的记录能够看出，SYN_SENT状态被配置了，这说明连接已发出一个SYN包，但应答还没发送过来，这可从[UNREPLIED]标志看出。

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!