"Oskar Andreasson. Iptables Tutorial 1.1.19 " - читать интересную книгу автора

TIME_WAIT - 2 минуты
CLOSE - 10 секунд
CLOSE_WAIT - 12 часов
LAST_ACK - 30 секунд
LISTEN - 2 минуты
Эти значения могут несколько изменяться от версии к версии ядра, кроме
того, они могут быть изменены через интерфейс файловой системы /proc
(переменные proc/sys/net/ipv4/netfilter/ip_ct_tcp_*). Значения
устанавливаются в сотых долях секунды, так что число 3000 означает 30
секунд.

ПРИМЕЧАНИЕ: Обратите внимание на то, что со стороны пользователя,
механизм определения состояния никак не отображает состояние флагов TCP
пакетов. Как правило - это не всегда хорошо, поскольку состояние NEW
присваивается, не только пакетам SYN.

Это качество трассировщика может быть использовано для избыточного
файерволлинга (firewalling), но для случая домашней локальной сети, в
которой используется только один брандмауэр это очень плохо. Эта проблема
более подробно обсуждается в разделе Пакеты со статусом NEW и со сброшенным
битом SYN приложения Общие проблемы и вопросы. Альтернативным вариантом
решения этой проблемы может служить установка заплаты tcp-window-tracking из
patch-o-matic, которая сделает возможным принятие решений в зависимости от
значения TCP window.

4.5. UDP соединения

По сути своей, UDP соединения не имеют признака состояния. Этому
имеется несколько причин, основная из них состоит в том, что этот протокол
не предусматривает установления и закрытия соединения, но самый большой
недостаток - отсутствие информации об очередности поступления пакетов.
Приняв две датаграммы UDP, невозможно сказать точно в каком порядке они были
отправлены. Однако, даже в этой ситуации все еще возможно определить
состояние соединения. Ниже приводится рисунок того, как выглядит
установление соединения с точки зрения трассировщика.

Из рисунка видно, что состояние UDP соединения определяется почти так
же как и состояние TCP соединения, с точки зрения из пользовательского
пространства. Изнутри же это выглядит несколько иначе, хотя во многом
похоже. Для начала посмотрим на запись, появившуюся после передачи первого
пакета UDP.
udp 17 20 src=192.168.1.2 dst=192.168.1.5 sport=137 dport=1025 \
[UNREPLIED] src=192.168.1.5 dst=192.168.1.2 sport=1025 \ dport=137 use=1
Первое, что мы видим - это название протокола (udp) и его номер (см.
/etc/protocols прим. перев.). Третье значение - оставшееся "время жизни"
записи в секундах. Далее следуют характеристики пакета, прошедшего через
брандмауэр - это адреса и порты отправителя и получателя. Здесь же видно,
что это первый пакет в сессии (флаг [UNREPLIED]). И завершают запись адреса
и порты отправителя и получателя ожидаемого пакета. Таймаут такой записи по
умолчанию составляет 30 секунд.