iptables防火墙配置工具ShoreWall进阶实用介绍

核心提示： 以上的设定是指转送所有fw防火墙接口的ssh及http的请求至loc的界面，而IP为192.168.1.3的机器上，iptables防火墙配置工具ShoreWall进阶实用介绍(2)，在这个档案中有几个较常用到的字段，分别说明如下，格式可设定以下几种样式：loc、net(在zones档案中

以上的设定是指转送所有fw防火墙接口的ssh及http的请求至loc的界面，而IP为192.168.1.3的机器上。

在这个档案中有几个较常用到的字段，分别说明如下，其它较少用的字段在此笔者就不多加说明了：

◆字段名称设定项目说明

ACTIONACCEPT允许这个联机的要求。

ACCEPT+和ACCETP一样，但是会排除之后有关REDIRECT-及DNAT-的规则。

DROP：忽略这个联机的请求。

REJECT：不接受这联机的请求，并回复一个icmp-unreachable或是RST的封包给对方。

DNAT：转送这个封包至另一个系统(或是其它的port号)。

DNAT-：只有进阶的使用才会用到，这和DNAT的规则一样，但是只产生DNAT的iptables的规则而且也不是ACCEPT成对的规则。

REDIRECT：重导这个联机的请求到local的另一个埠号中。

REDIRECT-：只有进阶的使用才会用到，这和REDIRECT的规则一样，但是只产生REDIRECT的iptables的规则而且也不是ACCEPT成对的规则。

CONTINUE：专家模式专用，对于这里所定义的来源及目的端的请求就会被pass通过。

LOG：简单的记录封包信息

QUEUE：将这个封包伫放在使用者的应用程序中。

<action>;定义在/etc/shorewall/actions或是/usr/share/shorewall/actions.std中的动作。

SOURCE：来源地址，格式可设定以下几种样式：loc、net(在zones档案中所定义的接口)192.168.1.1(IP格式)192.168.1.0/24(子网络格式)loc:192.168.1.1loc:192.168.1.0/24loc:192.168.1.1,192.168.1.2loc:~00-A0-C9-15-39-78(MACAddress)

DEST：目的地址，设定的方式和SOURCE一样，但是如果SOURCE设定为all时，则有以下的限制：并不允许使用MACAddress在DNAT的规则中只允许使用IPAddress不可同时使用interface及IP