7.6. iptables и отслеживание соединений

В состав iptables включён модуль, позволяющий администраторам наблюдать и ограничивать подключения к службам, работающим во внутренней сети, с помощью так называемого отслеживания соединений. Подсистема отслеживания соединений запоминает соединения в таблице, благодаря чему администраторы могут разрешать или запрещать доступ, исходя из следующих состояний соединения:

Вы можете использовать функциональность сохранения состояния, предлагаемую средством отслеживания соединений iptables с любым сетевым протоколом, даже если сам протокол состояние не поддерживает (как, например, UDP). Ниже показано правило, в котором отслеживание соединения используется для пересылки только пакетов, связанных с внешним соединением:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ALLOW