2.5.7. IPTables y trazado de conexiones

Para inspeccionar y restringir conexiones a servicios basados en su estado de conexión. El módulo dentro de iptables usa el método llamado rastreo de conexión para almacenar información sobre conexiones entrantes. Puede aceptar o negar acceso con base en los siguientes estados de conexión:
  • NEW — Un paquete que solicita una nueva conexión, tal como una solicitud HTTP.
  • ESTABLISHED — Un paquete que hace parte de una coexión existente.
  • RELATED — Un paquete que solicita una nueva conexión pero que hace parte de una conexión existente. Por ejemplo, FTP usa el puerto 21 para establecer una conexión, pero los datos se transfieren en un puerto diferente (por lo general, el puerto 20).
  • INVALID — Un paquete que no hace parte de ninguna conexión en la tabla de seguimiento de conexión.
Puede utilizar la funcionalidad de estado de la conexión de iptables que rastrea con cualquier protocolo de redes, incluso si el protocolo mismo no tiene estado (tal como UDP). El siguiente ejemplo muestra la regla que usa el seguimiento de conexión para reenviar únicamente los paquetes asociados a una conexión establecida:
[root@myServer ~ ] # iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT