В статье "Linux stateful firewall design (http://www.linuxexposed.com/internal.php?op=modload&name=New...)" кратко резюмируются основные приемы использования iptables, с оглядкой на учет текущего состояния соединения  (-m state --state ESTABLISHED).

URL: http://www.linuxexposed.com/internal.php?op=modload&name=New...
Новость: https://www.opennet.ru/opennews/art.shtml?num=4874

• Построение iptables правил с учетом состояния TCP соединения,robin zlobin, 19:54 , 06-Янв-05
• Построение iptables правил с учетом состояния TCP соединения,Moralez, 07:27 , 09-Янв-05
  • > почему нетфильтер до сих пор не умеет,poige, 10:14 , 10-Янв-05
    • > почему нетфильтер до сих пор не умеет,Moralez, 07:21 , 11-Янв-05
      • > почему нетфильтер до сих пор не умеет,Mr.Uef, 12:25 , 11-Янв-05
      • > почему нетфильтер до сих пор не умеет,poige, 15:19 , 11-Янв-05
        • > почему нетфильтер до сих пор не умеет,poige, 16:18 , 11-Янв-05

И это пишет CEO Gentoo...

Интересно, почему нетфильтер до сих пор не умеет что-то аналогичное BSD-шному keep-state? Неужели считают ненужным? :о( IMHO, намного лучше древнего варианта с NEW + RELATED,ESTABLISHED :-( Или ошибаюсь?

   state
       This module, when combined with connection tracking, allows access to  the  connec-
       tion tracking state for this packet.

       --state state
              Where  state  is  a  comma separated list of the connection states to match.
              Possible states are INVALID meaning that the packet is  associated  with  no
              known  connection,  ESTABLISHED meaning that the packet is associated with a
              connection which has seen packets in both directions, NEW meaning  that  the
              packet  has started a new connection, or otherwise associated with a connec-
              tion which has not seen packets in both directions, and RELATED meaning that
              the  packet is starting a new connection, but is associated with an existing
              connection, such as an FTP data transfer, or an ICMP error.

/poige

Пожалуйста, прочитайте мой вопрос ещё несколько раз! :-(

>Пожалуйста, прочитайте мой вопрос ещё несколько раз! :-(

А чем keep-state отличается от ESTABLISHED,RELATED?

ок, перечитываю еще 1 (один) раз.

>  Интересно, почему нетфильтер до сих пор не умеет что-то аналогичное BSD-шному keep-state?

потом набираю linux firewall keep state в google:

  http://www.google.com/search?q=linux+firewall+keep+state

и недоуменно смотрю на https://www.opennet.ru/openforum/vsluhforumID3/4897.html#2

еще скажу, что keep state это вовсе не BSD'шное, а скорее ipfilter'ское. Причем появилось там оно даже не by Darren Reed: "
...
    JA: How much of the pf implementation is based on other packet filters?
    Daniel Hartmeier: The stateful connection tracking is based directly on Guido van Rooij's work (which is also the basis for IPFilter).
..."

(Guido van Rooij)

P. S. Мне снова что-нть перечитать? У меня полное впечатление, что я таки более осведомлен. :-)

/poige

Кстати, если имелся в виду FreeBSD's ipfw с его "keep-state" (а не ipfilter, с его синтаксисом "keep state"), то ничего особо не меняется:

> 14:17:38 2000 UTC (4 years, 11 months ago) by luigi
> Changes since 1.127: +451 -22 lines
> Diff to previous 1.127 (colored)
>
> Support for stateful (dynamic) ipfw rules. They are very
--^----^----^----^----^----^----^----^--
> similar to ipfilter's keep-state.
--^----^----^----^----^----^--
>
> Look at the updated ipfw(8) manpage for details.

P. S. Мне, как только я увидел, понравился BSDi's ipfw с синтаксисом типа:

tcp && srcaddr(192.168.1.25) && dstport(service(http/tcp)) {
        forcelocal;
        accept;
}

и пр..

Если кому интересно, вот здесь можно прочитать:

  http://www.kabinet.or.jp/cgi-bin/bsdi-man?ipfw

подробнее.

/poige
--
http://www.i.morning.ru/~poige/