Linux平台上Iptables包过滤防火墙的实现

核心提示： 首先我们可以看到前四个包的回应都很正常，然后从第五个包开始，Linux平台上Iptables包过滤防火墙的实现(4)，我们每10秒可以收到一个正常的回应，这是因为我们设定了单位时间(在这里是每分钟)内允许通过的数据包的个数是每分钟6个，最直接获得帮助的办法是查看iptables的在线帮助，

首先我们可以看到前四个包的回应都很正常，然后从第五个包开始，我们每10秒可以收到一个正常的回应。这是因为我们设定了单位时间(在这里是每分钟)内允许通过的数据包的个数是每分钟6个，也即每10秒钟一个；其次我们又设定了事件触发阀值为5，所以我们的前四个包都是正常的，只是从第五个包开始，限制规则开始生效，故只能每10秒收到一个正常回应。

假设我们停止ping，30秒后又开始ping，这时的现象是：

前两个包是正常的，从第三个包开始丢包，这是因为在这里我的允许一个包通过的周期是10秒，如果在一个周期内系统没有收到符合条件的包，系统的触发值就会恢复1，所以假如我们30秒内没有符合条件的包通过，系统的触发值就会恢复到3，假如5个周期内都没有符合条件的包通过，系统都触发值就会完全恢复。不知道你明白了没有，欢迎你来信讨论。

11. LOG目标扩展

netfilter缺省的目标(也就是一旦满足规则所定义以后系统对数据包的处理方法)有：

ACEEPT：接收并转发数据包

DORP：丢掉数据包

目标扩展模块提供了扩展的目标。LOG目标提供了记录数据包的功能。该目标扩展有以下几个参数：

--log-level：指定记录信息的级别，级别有debug、info、notice、warning、err、crit、alert、emerg分别对应7到0的数字。其含义请参看syslog.conf的man手册。

--log-prefix：后接一个最长为30个字符的字符串，该字符串将出现在每一条日志的前面。

12. REJECT目标扩展

该目标扩展完全和DORP标准目标一样，除了向发送方返回一个“port

unreachable”的icmp信息外。

还有其他一些扩展是常用的，如果你想了解可以参考Packet-Filtering-HOWTO。当然，最直接获得帮助的办法是查看iptables的在线帮助，比如想得到关于mac匹配扩展的帮助可以执行“iptables

-m mac -help”命令，想得到LOG目标扩展的帮助可以执行“iptables -j LOG

-help”命令。