iptables 数据包在用户空间的状态

Table 4-1. 数据包在用户空间的状态

State（状态）	Explanation（注释）
NEW	NEW说明这个包是咱们看到的第一个包。意思就是，这是conntrack模块看到的某个链接第一个包，它即将被匹配了。好比，咱们看到一个SYN 包，是咱们所留意的链接的第一个包，就要匹配它。第一个包也可能不是SYN包，但它仍会被认为是NEW状态。这样作有时会致使一些问题，但对某些状况是有很是大的帮助的。例如，在咱们想恢复某条从其余的防火墙丢失的链接时，或者某个链接已经超时，但实际上并未关闭时。
ESTABLISHED	ESTABLISHED已经注意到两个方向上的数据传输，并且会继续匹配这个链接的包。处于ESTABLISHED状态的链接是很是容易理解的。只要发送并接到应答，链接就是ESTABLISHED的了。一个链接要从NEW变为ESTABLISHED，只须要接到应答包便可，无论这个包是发往防火墙的，仍是要由防火墙转发的。ICMP的错误和重定向等信息包也被看做是ESTABLISHED，只要它们是咱们所发出的信息的应答。
RELATED	RELATED是个比较麻烦的状态。当一个链接和某个已处于ESTABLISHED状态的链接有关系时，就被认为是RELATED的了。换句话说，一个链接要想是RELATED的，首先要有一个ESTABLISHED的链接。这个ESTABLISHED链接再产生一个主链接以外的链接，这个新的链接就是RELATED的了，固然前提是conntrack模块要能理解RELATED。ftp是个很好的例子，FTP-data 链接就是和FTP-control有RELATED的。还有其余的例子，好比，经过IRC的DCC链接。有了这个状态，ICMP应答、FTP传输、DCC等才能穿过防火墙正常工做。注意，大部分还有一些UDP协议都依赖这个机制。这些协议是很复杂的，它们把链接信息放在数据包里，而且要求这些信息能被正确理解。
INVALID	INVALID说明数据包不能被识别属于哪一个链接或没有任何状态。有几个缘由能够产生这种状况，好比，内存溢出，收到不知属于哪一个链接的ICMP 错误信息。通常地，咱们DROP这个状态的任何东西。