UNCLEAN:
-
A correspondência
UNCLEAN
não tem opções e não exige mais que explicitamente carregá-lo quando quiser usá-lo. Note que esta opção é considerado experimental e pode não funcionar em todos os momentos, nem ele cuida de todos os pacotes ou problemas não limpos. A partida impura tenta corresponder pacotes que parecem malformados ou incomuns, como pacotes com maus cabeçalhos ou checksums e assim por diante. Isso poderia ser usado paraDROP
connections e para verificar streams ruins, por exemplo; no entanto, você deve estar ciente de que poderia quebrar legal conexões. -
Como uma observação: foi removido há um tempo atrás (desculpe, não me lembro exatamente quando, mas eu acredito que foi com o início da árvore 2.6.x). Eles citaram o fato que não estava sendo usado corretamente e a implementação não foi o que eles queriam de qualquer maneira. Algo para esse efeito. Deve estar em um dos changelogs 2.6.x eu acho.
INVALID: Referidos de
- O estado
INVALID
significa que o pacote não pode ser identificado ou não possui nenhum estado. Isso pode ser devido a várias razões, como o sistema com falta de memória ou mensagens de erro ICMP que não respondem a nenhuma conexão conhecida. Geralmente, é uma boa idéia DROP tudo neste estado. - A regra com
INVALID
state descartará todos os pacotes com cabeçalhos ou somas de verificação inválidas, sinalizadores TCP inválidos, mensagens ICMP inválidas (como uma porta inacessível quando não enviamos nada ao host) e pacotes fora de seqüência que podem ser causado por predição de sequência ou outros ataques semelhantes. O alvoDROP
derrubará um pacote sem resposta alguma, ao contrário do REJECT que recusa educadamente o pacote. UsamosDROP
porque não há uma respostaREJECT
adequada aos pacotes que sãoINVALID
e não queremos reconhecer que recebemos esses pacotes.