कैसे समझें कि पैकेट को 'iptables' द्वारा INVALID क्यों माना गया?

मैंने कुछ iptablesनियम स्थापित किए हैं इसलिए यह उन पैकेटों को लॉग और ड्रॉप करता है जो INVALID ( --state INVALID) हैं। लॉग को पढ़ना मैं कैसे समझ सकता हूं कि पैकेट को अमान्य क्यों माना गया? उदाहरण के लिए, निम्नलिखित:

Nov 29 22:59:13 htpc-router kernel: [6550193.790402] ::IPT::DROP:: IN=ppp0 OUT= MAC= SRC=31.13.72.7 DST=136.169.151.82 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=5104 DF PROTO=TCP SPT=80 DPT=61597 WINDOW=0 RES=0x00 ACK RST URGP=0

पैकेट विभिन्न राज्यों में हो सकता है जब स्टेटफुल पैकेट निरीक्षण का उपयोग किया जाता है।

• नई : पैकेट किसी भी ज्ञात प्रवाह या सॉकेट का हिस्सा नहीं है और टीसीपी झंडे में SYN बिट है।
• स्थापित : पैकेट एक प्रवाह या सॉकेट से मेल खाता है CONNTRACKऔर किसी भी टीसीपी झंडे है। प्रारंभिक TCP हैंडशेक पूरा होने के बाद SYN बिट एक पैकेट के लिए राज्य में स्थापित होना चाहिए।
• संबंधित : पैकेट किसी ज्ञात प्रवाह या सॉकेट से मेल नहीं खाता है, लेकिन पैकेट अपेक्षित है क्योंकि एक मौजूदा सॉकेट है जो इसे भविष्यवाणी करता है (इसके उदाहरण पोर्ट 20 के डेटा हैं जब पोर्ट 21 पर एक मौजूदा एफ़टीपी सत्र है, या यूडीपी डेटा है) टीसीपी पोर्ट 5060 पर मौजूदा एसआईपी कनेक्शन के लिए)। इसके लिए संबद्ध ALG की आवश्यकता होती है।
• अमान्य : यदि पिछले राज्यों में से कोई भी लागू नहीं होता है तो पैकेट राज्य में है INVALID। यह विभिन्न प्रकार के स्टील्थ नेटवर्क जांच के कारण हो सकता है, या इसका मतलब यह हो सकता है कि आप CONNTRACKप्रविष्टियों से बाहर चल रहे हैं (जिसे आपको अपने लॉग में भी देखा जाना चाहिए)। या यह पूरी तरह से सौम्य हो सकता है।

आपके मामले में, आपके द्वारा उद्धृत पैकेट से पता चलता है कि टीसीपी झंडे ACKऔर RST, और स्रोत पोर्ट है 80। इसका मतलब है कि वेब सर्वर 31.13.72.7(जो फेसबुक होता है) ने आपको एक रीसेट पैकेट भेजा। यह कहना पूरी तरह से असंभव है कि इसके पहले आए पैकेट को देखे बिना (यदि कोई हो)। लेकिन सबसे अधिक संभावना है कि यह आपको उसी कारण के लिए रीसेट भेज रहा है, जब आपके कंप्यूटर को लगता है कि यह अमान्य है।