1、
經常看到如下2個語句(當然也可以同時設定 ip和端口):
iptables -t filter -I -m state --state ESTABLISHED,RELATED -j ACCEPT
iptabels -t filter -A -m state --state INVALID -j DROP
這些是用在本機訪問外部sshd等服務時,sshd服務端數據回程到INPUT本機時需要設定的
當然還有-m state --state NEW又是另外一個狀態了,比如本機提供sshd服務,外部訪問本端的sshd服務首次的連接狀態就是NEW
參考:http://www.zsythink.net/archives/1597 這哥們已經說的很清楚了,要深入的話需要參考 linux tutorial中user-land states部分
2、
在centos7中可以看到如下的默認iptables語句:
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW,UNTRACKED -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 3306 -m conntrack --ctstate NEW,UNTRACKED -j ACCEPT
-A IN_public_deny -s 59.66.0.0/16 -p tcp -m tcp --dport 40022 -m conntrack --ctstate NEW,UNTRACKED -j REJECT --reject-with icmp-port-unreachable
-A IN_public_deny -s 101.5.0.0/16 -p tcp -m tcp --dport 40022 -m conntrack --ctstate NEW,UNTRACKED -j REJECT --reject-with icmp-port-unreachable
-A IN_public_deny -s 101.6.0.0/16 -p tcp -m tcp --dport 40022 -m conntrack --ctstate NEW,UNTRACKED -j REJECT --reject-with icmp-port-unreachable