Os pacotes podem estar em vários estados ao usar a inspeção de pacotes com estado.
- Novo : O pacote não faz parte de nenhum fluxo ou soquete conhecido e os sinalizadores TCP possuem o bit SYN ativado.
-
Estabelecido : o pacote corresponde a um fluxo ou soquete rastreado por
CONNTRACK
e possui qualquer sinalizador TCP. Depois que o handshake TCP inicial estiver concluído, o bit SYN deve estar desligado para que um pacote esteja no estado estabelecido. - Relacionado : O pacote não corresponde a nenhum fluxo ou soquete conhecido, mas o pacote é esperado porque existe um soquete existente que o predica (exemplos disso são dados na porta 20 quando há uma sessão FTP existente na porta 21, ou dados UDP para uma conexão SIP existente na porta TCP 5060). Isso requer um ALG associado ou
-
Inválido : Se nenhum dos estados anteriores se aplicar, o pacote estará no estado
INVALID
. Isso pode ser causado por vários tipos de probes de rede furtivos, ou pode significar que você está ficando semCONNTRACK
entradas (que você também deve ver em seus logs). Ou pode simplesmente ser totalmente benigno.
No seu caso, o pacote que você cita mostra que o TCP sinaliza ACK
e RST
, e que a porta de origem é 80
. O que isso significa é que o servidor web em 31.13.72.7
(que é o Facebook) enviou um pacote de redefinição para você. É totalmente impossível dizer por que sem ver os pacotes que vieram antes (se houver). Mas é mais provável que esteja a enviar-lhe uma reposição pela mesma razão que o seu computador considera inválida.