iptables的基础知识-iptables中TCP三次握手：

　　一个TCP连接是通过三次握手的方式完成的。首先，客户程序发出一个同步请求(发出一个SYN分组);接着，服务器端回应一个SYN|ACK分组;最后返回一个ACK分组，连接完成，一共需要三个步骤，整个iptables过程如下所示：

Client          Server  
 
1 SYN ---> 
2         <--- SYN+ACK  
3 ACK ---> 
         <--- ACK  
ACK ---> 
 

　　接下来我们看具体iptables的过程，假设client(192.168.10.7)要访问server(192.168.10.100,同时启用iptables)的WEB主页。

　　1 client首先发出一个SYN的连线请求(注意ack,rst等的值)，源端口是1286，目的端口是80。

　　2 Server收到着请求后应答一个SYN+ACK，因为是SERVER应答client，所以源端口是80，目的端口是1286。

　　3 client再答复一个ACK，至此三步握手的过程结束，一个正常的连接建立。

　　从以上的三步中可以看到，一个正常的tcp连接建立的过程。值得注意的是一个正常的tcp发起的请求，tcp中包头中SYN位是1，这就意味着如果一个新的包但是SYN却不置位，这个包肯定有问题。

　　为了跟踪一个TCP连接的状态，我们在SERVER使用了如下命令：

　　iptables -A INPUT -p tcp -m state --state NEW，ESTABLISHED -j ACCEPT  
 
　　iptables -A OUTPUT -p tcp -m state --state ESTABLISHED -j ACCEPT  
 

　　接着看在连接建立过程中iptables状态表的变化:

　　1> 由于CLIENT和SERVER之前没有任何连接，CLIENT发送的SYN(此时的TCP状态是SYN_SENT)请求进入iptables 的INPUT链，发现是一个新包，那么此时iptables将此状态定义为NEW，因为我们的规则允许，这个请求包被接受。

　　2> server返回一个SYN+ACK的包(此时的TCP状态是SYN_RECIV)，这个包要经过OUTPUT链(因为这个包是从本机发出的，目的地址是client)，由于之前曾经收到一个包，此时个状态，已经变成了ESTABLISHED，按照规则，这个包成功发送出去。

　　3> 接下来client发送一个ACK，同样由于INPUT中允许，server接受这个包，至此连接完成，在整个过程中状态从NEW变为ESTABLISHED(此时的TCP也是established)

　　注意：在第二步的时候，server上TCP的状态是SYN_RECVD，对于iptables来讲，状态已经是established，但此时的三次握手并没有完成，实际是半连接(对与TCP来讲，必须是三次握手完成以后，状态才是established)。所以iptables面对SYNFLOOD攻击，可以通过控制SYN流量结合tc等实现。但是对于SYN攻击，即便能保护服务器，对于带宽的消耗也是没有办法的，因为攻击者消耗了你大部分带宽。具体连接过程中TCP状态是如何变化可参考看TCP/IP V1等著作(douglas E.comer或者Steven Richard等的经典之作)。

　　注意iptables状态机制在用户空间里的部分不会查看TCP包的标志位(也就是说TCP标志对它而言是透明的)。如果我们想让NEW状态的包通过防火墙，就要指定NEW状态，我们理解的NEW状态的意思就是指SYN包，可是iptables又不查看这些标志位。这就是问题所在。有些没有设置SYN或ACK的包，也会被看作NEW状态的。这样的包可能会被冗余防火墙用到，但对只有一个防火墙的网络是很不利的(可能会被攻击哦)。那我们怎样才能不受这样的包的影响呢?可以使用tcp-flags进行检查。

　　上一节：iptables中的状态检测  下一节：iptables中的ICMP。

【编辑推荐】

IPtables防火墙使用技巧（超实用）

Linux下Iptables端口转发功能的解决

四种NAT的iptables实现