Iptables: "-p udp - держава встановлена"

давайте розглянемо ці два правила iptables, які часто використовуються для дозволу вихідних DNS:

iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53 
   -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A INPUT -p udp --sport 53 --dport 1024:65535
   -m state --state ESTABLISHED -j ACCEPT

Моє запитання: як саме я повинен розуміти встановлений стан в UDP? UDP є без громадянства.

Ось моя інтуїція - я хотів би знати, чи це неправильно:

Сторінка людини повідомляє мені це:

держава

Цей модуль у поєднанні з відстеженням з'єднання дозволяє отримати доступ до
стан відстеження з'єднання для цього пакету.

  - держава ...

Отже, iptables в основному запам'ятовує номер порту, який використовувався для вихідного пакету (що ще він міг запам'ятати для пакету UDP?) , А потім дозволяє перший вхідний пакет, який надсилається назад за короткий проміжок часу? Зловмиснику доведеться відгадати номер порту (чи справді це буде занадто важко?)

Про уникнення конфліктів:

Ядро відслідковує, які порти заблоковані (або іншими службами, або попередніми вихідними пакетами UDP), щоб ці порти не використовувались для нових вихідних пакетів DNS в межах часу? (Що буде, якби я випадково спробував запустити послугу на цьому порту в межах строку - чи спроба буде відхилена / заблокована?)

Будь ласка, знайдіть усі помилки у вищенаведеному тексті :-) Дякую,

Кріс

Отже, iptables в основному запам'ятовує номер порту, який використовувався для вихідного пакету (що ще він міг запам'ятати для пакету UDP?),

Я майже впевнений, що для UDP джерела та порти призначення та адреси зберігаються.

Якщо ви хочете перевірити таблиці стану, встановіть conntrack та / або netstat-nat.

(Що буде, якби я випадково спробував запустити послугу на цьому порту в межах строку - чи спроба буде відхилена / заблокована?)

Оскільки ви використовуєте OUTPUT та INPUT, ви говорите про місцеві послуги. Порт вже використовується, я не вірю, що ваша система дозволить вам запустити іншу службу, оскільки щось вже слухається на цьому порту. Я думаю, ви могли б зупинити першу службу та почати іншу, якщо ви цього хотіли, але в такому випадку відповідь, ймовірно, потрапить до вашої служби. Те, що послуга робить з пакетом, залежить від вмісту пакету та якої саме служби.

NB: Ця відповідь була відредагована.

Незважаючи на те, що кажуть сторінки чоловіка, воно, ESTABLISHEDмабуть, означає "репутацію". Для UDP це просто означає (як ви пропонуєте) запам'ятовування кожного вихідного пакету UDP (кортеж "src ip, src port dst ip, dst port" на деякий час та визнання його відповідей).

FWIW, мої звичайні правила для DNS-трафіку були б приблизно подібними:

# permit any outbound DNS request (NB: TCP required too)
iptables -A OUTPUT -p udp --sport 1024:65535 --dport 53  -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024:65535 --dport 53  -j ACCEPT

# accept any packet that's a response to anything we sent
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

тобто контролювати трафік по OUTPUTланцюгу, а потім дозволити iptablesдержавним модулям обробляти все інше в INPUTланцюзі.

Дивіться також це пов'язане питання .

Розробники iptables вважають, що стан "Встановлено" - це ситуація, коли пакети бачили в обох напрямках незалежно від протоколу між двома клієнтами.

розширення штату є частиною контракції. Ядро розуміє стан з таблиці

/proc/net/nf_conntrack

Приклад iptable станів для UDP в таблиці nf_conntrack з точки зору відправника. Давайте уявимо, що ви надсилаєте запит DNS на UDP

udp   17 20 src=192.168.1.2 dst=192.168.1.10 sport=35237 dport=53 \
 [UNREPLIED] src=192.168.1.10 dst=192.168.1.2 sport=53 \
 dport=35237 use=1

Пакет надіслано. Це не відповідає і о, у таблиці є дані про те, що очікується у відповідь (пакет для відповіді DNS).

udp   17 20 src=192.168.1.2 dst=192.168.1.10 sport=35237 dport=53 \
  src=192.168.1.10 dst=192.168.1.2 sport=53 \
 dport=35237 use=1

Відповідь надійшла, невідповіданий прапор відсутній, це означає, що це з'єднання UDP знаходиться у ВІДКЛЮЧЕНОму стані протягом невеликої кількості часу, визначеного у вашій системі.