用Linux+Iptables构建防火墙实例

核心提示： -A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable 以上两行是为了防止Dos攻击做的一个简单的处理，大家对于各种攻击可做出相应的处理，用Linux+Iptables构建防火

-A INPUT -p icmp -m icmp --icmp-type 8 -j REJECT --reject-with icmp-port-unreachable

以上两行是为了防止Dos攻击做的一个简单的处理，大家对于各种攻击可做出相应的处理。

-A INPUT –i eth0 –m state –state ESTABLISHED,RELATED –j ACCEPT-A INPUT –i eth0 –j DROP

以上两行是做了一个INPUT状态防火墙的处理，其主要作用为防止外部的连接和攻击，因其接受ESTABLISHED,RELATED状态(一个包分为NEW，ESTABLISHED,RELATED，INVALID四种状态)的包，故又不妨碍从本机出去的连接。

由于并不是所有的电脑都可以上网，所以还要对共享上网的电脑做一个限制：

IP限制：

-A FORWARD –s 192.168.2.0/29 –p udp –m multiport –port 53 –j ACCEPT

-A FORWARD –s 192.168.2.0/29 –p tcp –m multiport –port 3128,110,25 –j ACCEPT

-A FORWARD –s 192.168.20.253 –j ACCEPT

充许192.168.2.0~192.168.2.7和192.168.20.253(squid server)的电脑可上网和发邮件。3128是squid server的proxy port。我们用它去共享上网，110为pop3,25为smtp。Udp的53为DNS所要的port。不过由于使用的是DHCP，可能每次得到的IP都不一样，所以我们就要用下面一种MAC限制的方法了。

MAC 限制：

-A FORWARD –m mac -–mac XX:XX:XX:XX:XX:XX –p udp –m multiport –port 53 –j ACCEPT

-A FORWARD –m mac -–mac XX:XX:XX:XX:XX:XX –p tcp –m multiport –port 3128,110,25 –j ACCEPT