它首先需要存储状态。我使用的一些旧的BSD防火墙,我猜是命名为IPFW,我曾经放置了一个满足“跟踪离开数据包的状态”的规则,并将其放置在接口的出站方向上。然后,入站方向上的另一个规则根据出站方向上的规则创建的那些状态检查它们。所以过去有 2 个规则:(1) 填充状态表,这是在出站方向,以及 (2) 查找状态表,这是在入站方向。
但是使用connntrack,我看到它应用在INPUT链上,比如这个规则:
iptables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
这让我想知道,该声明实际上在做什么?