我遇到过一些iptables的configuration,这个规则从一个规则开始,允许所有带有ACK标记的TCP包,接着是所有的obvius服务端口规则。 这是为什么? 服务器仍然响应此禁用的规则。 是否有其他端口,然后服务的服务的ACK有用的接受?
devise防火墙的人可能是最好的人回答这why is this here? 题。
如果我试图find一个有用的用例:
前提:具有ACK标志的TCP数据包是常见的
前提:将在匹配的第一个ACCEPT, DROP, REJECT, etc..规则中停止评估
假设: ACK包基本上是无害的
#Accept any TCP Acknowlegements and let the OS / Service handle any issues -A INPUT -m tcp -p tcp --tcp-flags ACK -j ACCEPT -A INPUT -m tcp -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -m tcp -p tcp -m state --state NEW --dport 80 -j ACCEPT ... ... -A INPUT -j DROP
结论:可能已经添加了ACK语句以提高防火墙的性能。
我没有任何基准来支持这样的假设。