NetFilter/iptables防火墙设置（下）

核心提示： Chain PREROUTING (policy ACCEPT 238K packets, 25M bytes)pkts bytes targetprot opt in outsource destination407 21724 DNATtcp--eth1 anyanywhere 10.

Chain PREROUTING (policy ACCEPT 238K packets, 25M bytes)
pkts bytes target　prot opt in　 out　source　　　　 destination　　　　
　407 21724 DNAT　　tcp　--　eth1 any　anywhere　　　 10.0.0.1 tcp　 dpt:smtp
to:192.168.1.254
　　1　　48 DNAT　　tcp　--　eth1 any　anywhere　　　 10.0.0.1 tcp　 dpt:pop3
to:192.168.1.254
　681 39308 DNAT　　tcp　--　eth1 any　anywhere　　　 10.0.0.1 tcp　 dpt:http
to:192.168.1.253
Chain POSTROUTING (policy ACCEPT 74279 packets, 5074K bytes)
pkts bytes target　prot opt in　 out　source　　　　 destination　　　　
16058　979K SNAT　　all　--　any　eth1 192.168.1.0/24 anywhere to:10.0.0.1
Chain OUTPUT (policy ACCEPT 57342 packets, 4244K bytes)
pkts bytes target　prot opt in　 out　source　　　　 destination

你可以看到符合策略的数据包的数量以及容量，还有符合每个表里每个链的每个规则的数据包的数量以及容量。我们可以找些重点，看看能不能将某些规则再优化一下。防火墙已经观测到你的内网转发了253M的传输，还有由内网发起建立的会话引入的681M传输。输出/输入的比率如此高，挺有趣的。你可能本来以为大多数出站请求的传输应该是小容量的，而入站响应应当是大容量的。这是由于我的邮件和网络服务器不会引起很多传输的注意。

看看我引进的拒绝DHCP规则多么有效。它丢弃了4350个数据包。如果没有这个规则或者它在记录规则之后的话，我就得多看4350行没用的记录。

剩余项

我们可以用iptables来建立在某一端口接收输入并将其转入到另一端口的规则：