state: 假设服务器 A(10.10.0.1)配置的 iptables 规则为入访全不通,即 INPUT 链全 DROP,出访全通,即 OUTPUT 链全 ACCEPT。另外一台服务器 B(10.10.0.100)和 A 在同一个二层网络,则显然 B ping 不通 A, A也不能 ping 通 B ,因为 A 的包有去无回,即 A 的 ICMP 包确实能到 B,但 B 的回包却被 A 的INPUT DROP 了。通过state模块可以完美解决这个题目,指定 state 为conntack的 ESTABLISHED状态,能够匹配已经建立ct连接的回包,添加 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT规则即可。