iptables防火墙配置工具ShoreWall进阶实用介绍

核心提示： #INTERFACESUBNETADDRESSPROTOPORT(S)IPSECeth0 eth1 206.124.146.176#LASTLINE--ADDYOURENTRIESABOVETHISLINE--DONOTREMOVEINTERFACE设定负责对外部网络的接口名称，SUBNE

#INTERFACESUBNETADDRESSPROTOPORT(S)IPSEC
eth0 eth1 206.124.146.176
#LASTLINE--ADDYOURENTRIESABOVETHISLINE--DONOTREMOVE

INTERFACE设定负责对外部网络的接口名称。

SUBNET设定负责对内部网络的接口名称。

ADDRESS设定负责对外部网络的IP地址，这个选项可以不设定。

PROTO在此您可以设定的内容为/etc/protocols的服务内容。

PORT(S)如果在PROTO的部份设定为TCP或是UDP的话，那么在这个选项中就可以设定端口号，或者是服务名称了。

IPSEC设定是否要对这个网络接口的联机进行加密，如果是空白，就是不需要，如果是yes的话，就会进行加密。

范例：

eth0 eth1 206.124.146.177 tcps mtp
eth0 eth1 206.124.146.176

以上的设定内容是代表所有由eth1的tcp协议的smtp封包，都会把IP的标头设定为206.124.146.177，然后由eth0送出去，然后其余的封包都是将封包的标头设定为206.124.146.176，然后由eth0送出去。

5、modules

这个档案会将所有Iptables所需要的模块都加载进去，预设的内容如下所示：

loadmoduleip_tables
loadmoduleiptable_filter
loadmoduleip_conntrack
loadmoduleip_conntrack_ftp
loadmoduleip_conntrack_tftp
loadmoduleip_conntrack_irc
loadmoduleiptable_nat
loadmoduleip_nat_ftp
loadmoduleip_nat_tftp
loadmoduleip_nat_irc

如果您有其它的模块的话，只要加入modules这个档案即可。

6、blacklist

这个档案是设定联机的黑名单，您可以在这个档案中限制某些网络地址的联机动作

ADDRESS/SUBNET PROTOCOL PORT 　ADDRESS/SUBNET设定所要限制的网络地址，或是子网络及MAC Address，格式分别为下列三种：网络地址：192.168.1.10 子网络：192.168.1.0/24 MACAddress：~00-A0-C9-15-39-78