iptables疑惑

# Generated by iptables-save v1.2.9 on Mon Jun  6 21:24:39 2005
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:SYNCHK - [0:0]
-A INPUT -i eth1 -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j SYNCHK
-A INPUT -i eth1 -p udp -j DROP
-A SYNCHK -p tcp -m tcp --dport 20000 --tcp-option 2 -j ACCEPT
-A SYNCHK -j DROP
COMMIT
# Completed on Mon Jun  6 21:24:39 2005

Linux下的tarceroute不像windows走的ICNP而是走UDP,那么,上面两条命令已经drop掉所有的udp了,为啥还是可以traceroute出去呢?tcpdump抓包显示发送的是udp包,但是这里,icmp 36: time exceeded in-transit,很明显看到回显的包是icmp的,为啥还是能通过呢?

本文出自 “阅读有危险,浏览需谨慎!” 博客,谢绝转载!

你可能感兴趣的:(职场,iptables,休闲)