這幾天遇到一個問題,iptables中INPUT已經禁止wan口的所有端口,並且沒有放開1701端口,爲啥vpn撥號還能成功?
本文比較淺顯,只是記錄下問題過程。
1.首先理解下iptables的四種狀態
- NEW狀態:與協議無關,每一條連接中的第一個數據包。
- ESTABLISHED狀態:當在使用tcp,udp協議時,假使主機發的第一個包成功傳過防火牆,那麼接下來主機發出和接收到的包的狀態都是established狀態,只要發送並接到應答,一個數據表的狀態就從NEW變爲ESTABLISHED,並且該狀態會繼續匹配這個連接後繼數據包。
- RELATED狀態:當一個數據包的狀態處於ESTABLISHED狀態的連接有關係的時候,就會被認爲是RELATED,也就是說一個連接想要是RELATED狀態,首先要有一個ESTABLISHED的連接。
- INVALID狀態:不能被識別屬於哪個連接狀態或沒有任何關係的狀態,一般這種數據包都是被拒絕的。
比如設備配置iptables配置了RELATED 和ESTABLISHED允許通過
板卡是通過xl2tp程序進程進行vpn撥號,xl2tp使用的是udp協議,端口爲1701;
設備-》發送請求到服務器
這個時候狀態已經變成established狀態,所以即使output鏈全部dorp,vpn也能開始建立鏈接