iptables … -j DROP 似乎使連接保持打開狀態？

如果這是一個愚蠢的問題，請原諒我，我不是網路專家。朋友伺服器正被某個 IP 淹沒，這在查看 的輸出時非常明顯tcptrace，因為有數百個狀態為“RESET”的連接。

我做了一件顯而易見的事情，並使用 iptables 阻止了所說的 IP 地址：

iptables -I INPUT -s <bad guy> -j DROP

據我了解，這應該可以解決問題。現在連接顯示為“SYN_SENT”而不是“RESET” tcptrace，這對我來說毫無意義。

我忽略了什麼嗎？我需要採取一些額外的步驟讓核心完全斷開連接嗎？

編輯：

另一個奇怪的是，無論有沒有 iptables 規則，是否都會出現任何奇怪的連接netstat -tuna（一定要喜歡那個命令），我讀了很多遍，不應該是這種情況。

據我了解，這應該可以解決問題。現在，連接在 tcptrace 中顯示為“SYN_SENT”，而不是“RESET”，這對我來說毫無意義。

關於大多數基於 pcap 的工具要記住的重要一點是，pcap 通常在核心網路堆棧中擷取比任何 netfilter 程式碼更低的位置。因此，您使用 iptables 丟棄的數據包仍會到達介面並被擷取。

您在擷取中看到了流量 SYN 數據包，但假設您的規則與流量正確匹配，它們可能不會被傳遞到系統中的任何其他內容。查看計數器 ( iptables -nvL) 的規則以仔細檢查。

無論是否有 iptables 規則，netstat -tuna 是否會出現任何奇怪的連接

有了規則，我們顯然會期望什麼都看不到，所以這並不令人驚訝。不知道為什麼你沒有看到任何沒有規則的東西。雖然我可能會ss -nut在 netstat 上使用。

引用自：https://serverfault.com/questions/955675