iptables . -j拖放似乎使连接处于打开状态？

Question

所以请原谅我，如果这是个愚蠢的问题，我不是什么网络专家。朋友服务器正被某个IP淹没，这在查看tcptrace的输出时非常明显，因为有数百个状态“重置”的连接。

我做了一件显而易见的事情，并使用iptables阻止了上述IP地址：

iptables -I INPUT -s <bad guy> -j DROP

据我所知，这应该能起作用。现在，连接不再是“重置”，而是以"SYN_SENT“的形式出现在tcptrace中，这对我来说毫无意义。

我是不是忽略了什么？我是否需要采取一些额外的步骤，使内核完全放弃连接？

编辑：

另一个奇怪的地方是，无论是在iptables规则的情况下，还是在没有iptables规则的情况下，netstat -tuna都不会出现任何奇怪的连接(我已经多次阅读该命令)，但情况不应该是这样的。

Answer 1

据我所知，这应该能起作用。现在，在tcptrace中，连接显示为"SYN_SENT“，而不是”重置“，这对我来说毫无意义。

大多数基于pcap的工具需要记住的重要一点是，在内核网络堆栈中，pcap通常捕获的比任何netfilter代码都低。因此，您使用iptables丢弃的数据包仍将到达接口并被捕获。

您将在捕获中看到通信量SYN数据包，但假设您的规则与流量正确匹配，它们很可能不会传递到系统中的其他任何东西。查看计数器(iptables -nvL)，以便对规则进行二次检查。

在没有iptables规则的情况下，是否有任何奇怪的连接出现在netstat -tuna中

有了这个规则，我们显然不会看到任何东西，所以这并不是太令人惊讶。不知道为什么没有规定你什么也看不见。不过，我可能会在netstat上使用ss -nut。