TCP と UDP の両方について、外部ネットワークが内部ネットワークへの接続を開始するのをブロックしようとしています。私の考えは、 --state を使用することです。さまざまな州のマニュアルページが何を意味するのかわかりません。
「NEW は、パケットが新しい接続を開始したこと、または両方向でパケットを確認していない接続に関連付けられていることを意味します」man ページ
NEW はハンドシェイクを追跡しますか? のように
client1 -SYN-> client2 NEW
client1 <-SYN,ACK- client2 NEW
client1 -ACK-> client2 ESTABLISHED
-また-
client1 -SYN-> client2 NEW
client1 <-SYN,ACK- client2 NEW
client1 -ACK-> client2 NEW
client1 <-DATA- client2 ESTABLISHED
UDP 用
client1 -MSG1-> client2 NEW
client1 <-MSG2- client2 NEW
client1 -MSG3-> client2 ESTABLISHED
-また-
client1 -MSG1-> client2 NEW
client1 <-MSG2- client2 ESTABLISHED
これは新しい着信接続をブロックしますが、新しい発信接続は通過させますか?
-A FORWARD -p tcp -m state --state NEW ! -s 192.168.1.0/24 -j DROP
-A FORWARD -p tcp -m state --state ESTABLISHED ! -s 192.168.1.0/24 -j DROP
-A FORWARD -p tcp -m state --state NEW,ESTABLISHED -s 192.168.1.0/24 -j ACCEPT