Iptables中,关于状态连接及连接追踪是学习重点,下面就来说说Iptables中的state到底是怎么回事:
1、连接状态转换
如下图:TCP连接是C/S架构的,每一次连接都必不可少的要经理三次握手和四次断开,在客户端和服务器端建立通信和相忘于江湖的过程中,每个阶段也是有状态的,比如说,正在传输数据时,就可以称为ESTABLISHED状态,未建立连接时,称为CLOSED状态,下图就简单的反映了客户端和服务器端的几种状态,左边是客户端,右边是服务器端,客户端未向服务器端发送syn请求时,一直处于CLOSED状态,而服务器端一直是处于LISTEN状态,随时等待听令,当客户端发送给服务器端syn请求时,状态就转变为syn_sent状态,服务器端接收到syn请求后,知道是三次握手的请求,所以转变成为syn_rcvd状态,并方会给客户端syn+ack请求,这时,客户端收到syn+ack请求后知道服务器端已经统一建立连接了,就转变为ESTABLISHED状态,并响应给服务器端一个ack请求,这样,接下来双方的状态就一直处于established状态了。当数据传输完毕后,客户端向服务器端发送一个fin请求,说明要断开,同时转变成FIN_WAIT1状态,服务器端收到请求后知道是断开的信息,状态就转变成的等待对方最终确认关闭的状态CLOSE_WAIT,给客户端发送一个ack请求,同时再次给客户端发送一个fin请求,后转变成LASTBACK状态,客户端这时有两种状态,FIN_WAIT_1和FIN_WAIT_2,当收到服务器端的fin请求后,确认关闭连接,装变成CLOSED状态,并给服务器端发送ack,这样,一个整套的连接就完成了。这其中,如果最后的ack响应报文在到达服务器端前,客户端就断开了,那么ack保温就不能送达到服务器端,所以在最后一步,客户端发给服务器端的ack报文要保持两个单位传输时间,以确保ack报文顺利到达。在这个过程中,双方都一直在进行连接状态转换。
下面这个图是双方连接过程中的各种状态的具体描述
2、连接追踪模板
在netfilter中,所有访问到本机的报文都是无状态的,也就是说,如果本机是一台服务器,有很多客户端访问此服务器,那么,服务器虽然收到请求,但不知道是那个客户端请求的,也不知道应该响应给谁。所以,为了可以追踪报文请求,服务期内就需要有一段内存存储请求的一些必要信息,这就是连接追踪,但是每追踪一个连接,就会产生一段内存,所以说这个内存也是有存储上限的,另外,每个连接的也是有超时时长的,超时则会自动在此内存中删除。假设该内存中存储已满,但都未超时,如果在此时又进来报文,就会直接丢掉。这段所谓的内存空间就是连接追踪模板,也就是说,无论是基于什么协议来访问本机,都可以成为有连接状态的报文。
连接状态有一下几种:
NEW: 新建立的连接,连接追踪模板中无相应的条目时,客户端第一次发出的请求;
ESTABLISHED:NEW状态之后,边距追踪模板中的条目删除之前所进行的通信过程,都称为ESTABLISHED;
RELATED:相关联的连接,如ftp协议的命令连接与数据连接即为相关联的连接;
INVALIED: 无法识别的状态。