UNCLEAN:
-
A correspondência
UNCLEANnão tem opções e não exige mais que explicitamente carregá-lo quando quiser usá-lo. Note que esta opção é considerado experimental e pode não funcionar em todos os momentos, nem ele cuida de todos os pacotes ou problemas não limpos. A partida impura tenta corresponder pacotes que parecem malformados ou incomuns, como pacotes com maus cabeçalhos ou checksums e assim por diante. Isso poderia ser usado paraDROPconnections e para verificar streams ruins, por exemplo; no entanto, você deve estar ciente de que poderia quebrar legal conexões. -
Como uma observação: foi removido há um tempo atrás (desculpe, não me lembro exatamente quando, mas eu acredito que foi com o início da árvore 2.6.x). Eles citaram o fato que não estava sendo usado corretamente e a implementação não foi o que eles queriam de qualquer maneira. Algo para esse efeito. Deve estar em um dos changelogs 2.6.x eu acho.
INVALID: Referidos de
- O estado
INVALIDsignifica que o pacote não pode ser identificado ou não possui nenhum estado. Isso pode ser devido a várias razões, como o sistema com falta de memória ou mensagens de erro ICMP que não respondem a nenhuma conexão conhecida. Geralmente, é uma boa idéia DROP tudo neste estado. - A regra com
INVALIDstate descartará todos os pacotes com cabeçalhos ou somas de verificação inválidas, sinalizadores TCP inválidos, mensagens ICMP inválidas (como uma porta inacessível quando não enviamos nada ao host) e pacotes fora de seqüência que podem ser causado por predição de sequência ou outros ataques semelhantes. O alvoDROPderrubará um pacote sem resposta alguma, ao contrário do REJECT que recusa educadamente o pacote. UsamosDROPporque não há uma respostaREJECTadequada aos pacotes que sãoINVALIDe não queremos reconhecer que recebemos esses pacotes.