摩托學園討論區

[Tetralet]

這是昨天寫的一個小小的 iptables 的 Script：

代碼: 選擇全部

iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat

iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP

iptables -A OUTPUT -o ppp0 -j ACCEPT
iptables -A INPUT -i ppp0 -j ACCEPT

這樣子設定了 iptables 之後，
應該可以正常對外部連線，也可以 Ping 到別人，
但是外部會完全連不進來，連 Ping 也 Ping 不到...

可是我不太了解的是，
為什麼 --state NEW,INVALID 可以連 Ping 都擋掉呢？
這遠遠得超出了我的理解範圍之外了...

[willie0220 off-line]

說一下我的理解，有錯請指證：

原因在於，--state NEW會檔掉新的連線

也就是說，只要是從外部往本機的"新連線"都會被檔掉。

所以囉，別人ping你的電腦，方向也是從外部往本機連線，自然就被檔掉囉

[Tetralet]

原因在於，--state NEW會檔掉新的連線

也就是說，只要是從外部往本機的"新連線"都會被檔掉。

所以囉，別人ping你的電腦，方向也是從外部往本機連線，自然就被檔掉囉

感謝您的回覆...

我找到原因了，的確和您的猜測一樣，
原來在 iptables 裡，
將 icmp 的 echo request 封包也視同 NEW 封包。

參考資訊：

　　IPtables connection tracking

下次問奇怪的問題之前，
還是先拜過 Google 大神好了...