iptables이 규칙은 무엇을 의미합니까?
iptables -t raw -I OUTPUT -j CT -p udp -m udp --dport 69 --helper tftp
답변1
덜 기술적인 설명에서는:
-t raw -I OUTPUT: 이 규칙을OUTPUTWatch Chain에 삽입합니다raw. 이 특수 테이블은 패킷이 연결 추적으로부터 보호되도록 구성하는 데에만 사용됩니다. 당연한 것처럼 보일 수도 있지만 일부 연결 추적이 필요하므로 테이블에는 합계PREROUTING와OUTPUT체인 만 있습니다.FORWARD-j CT: 이름이 지정된 대상으로 이동합니다CT. 이것은 사용자 정의 대상이며 하나의 대상에 대한 간단한 예로 결합할 수ACCEPT있으므로 하늘이 한계입니다 . 여기서 실제로 목표가 무엇인지LOG이해하려면 나머지 규칙이 필요합니다 .CT-p udp: 규칙과 일치하는 프로토콜은 udp입니다. 맨페이지에 따르면 지정된 프로토콜은 tcp,udp,udplite,icmp,esp또는 특수 키워드 중 하나이거나ah이러한 프로토콜 중 하나 또는 다른 프로토콜을 나타내는 숫자 값일 수 있습니다. 다음 목록을 얻을 수 있습니다sctpall여기에 프로토콜 번호가 있습니다.-m udp:udp확장 옵션을 일치시킵니다. UDP 일치의 옵션은 다음 과 같이--sportand--dport및 생략될 수 있으므로 이는 다소 과잉입니다.iptables-extensions맨페이지에는 다음과 같이 명시되어 있습니다.-p 또는 --protocol이 지정되고 알 수 없는 옵션이 발견되는 경우에만 iptables는 옵션을 사용 가능하게 만들기 위해 프로토콜과 동일한 이름을 가진 일치하는 모듈을 로드하려고 시도합니다.--dport 69:dest port = 69 및--dportudp의 일치 옵션--helper tftp: 일부 프로토콜은 "이상한" 방식으로 동작하며 해당 동작을 관리하기 위해 도우미를 사용해야 합니다. ftp는 한 포트가 명령/신호 전달에 사용되고 다른 포트는 데이터 전송에 사용되는 예입니다. 자세히 알아보기여기 도우미.
답변2
이 규칙은 더 큰 규칙 세트의 일부인 것으로 보입니다.
-t raw -I OUPUT: 테이블의 OUTPUT 체인 시작 부분에 이 규칙을 삽입합니다.raw-j CT: 조건 만족 시 대상으로 점프CT
현재 상황
-p udp:프로토콜은 udp여야 합니다.-m udp: 확장 사용udp- UDP 포트를 필터링할 수 있어야 합니다.--dport 69: 대상 포트가 69인 UDP 데이터그램에 적용 가능--helper tftp: 관련 데이터그램을 추적하려면 다음 기대치를 사용하십시오.tftp
인용하다:regit.org의 "도우미"