iptablesのUNCLEAN状態はどういう意味ですか？

きれいではない：

• このUNCLEANマッチングにはオプションは必要ありません。使用したい場合は明示的にロードするだけです。このオプションは実験的なものと見なされ、常に機能していない可能性があり、すべての異常パケットや問題を処理できない可能性があります。不正確な一致は、誤ったヘッダーやチェックサムを含むパケットなど、フォーマットが正しくないか異常に見えるパケットを一致させようとします。たとえば、間違ったストリームを接続して確認するために使用できますが、正当なDROP接続が中断される可能性があることに注意してください。

• 注：しばらく前に削除されました（申し訳ありませんが、正確にいつ起こったのかは覚えていませんが、2.6.xツリーの先頭にあったようです）。彼らはそれが正しく使用されておらず、実装が望むものとは異なると指摘しました。おそらくそうです。私の考えでは、2.6.xの変更ログの1つにあるはずです。

無効：おすすめ~から

• ステータスは、INVALIDパケットが認識できないかステータスがないことを意味します。これは、システムメモリが不足しているか、既知の接続に応答しないICMPエラーメッセージなど、いくつかの理由が原因である可能性があります。通常、この状態ではすべてを削除することをお勧めします。

• ステートフルルールは、INVALID無効なヘッダーまたはチェックサム、無効なTCPフラグ、無効なICMPメッセージ（ホストに何も送信しないとポートに接続できません）を含むすべてのパケットを破棄し、シーケンスの予測またはシーケンスによって引き起こされる可能性があります。順序パケット。他の同様の攻撃。DROPパケットを慎重に拒否するREJECTとは異なり、宛先は何も応答せずにパケットを破棄します。これらのパケットへのDROP正しい応答がなく、これらのパケットを受信したことを確認したくないために使用します。REJECTINVALID