使用IPtables搭建防火墙的规则

核心提示： 在没有指定规则表的情况下，缺省时使用的filter表，使用IPtables搭建防火墙的规则(2)，在filter表中最常用的三个目标是ACCEPT、DROP和REJECT，DROP会丢弃数据包，对于那些不想这样做的人，最基本的原则就是“先拒绝所有的数据包，不再对其进行任何处理，

在没有指定规则表的情况下，缺省时使用的filter表。在filter表中最常用的三个目标是ACCEPT、DROP和REJECT。DROP会丢弃数据包，不再对其进行任何处理。REJECT会把出错信息传送至发送数据包的主机。虽然有时会有一些预想不到的影响，但在很多时候它还是非常有用。

增加规则

本例中的规则将会阻止来自某一特定IP范围内的数据包，因为该IP地址范围被管理员怀疑有大量恶意的攻击者在活动：

# iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP

要了解有关iptables详细的参数和命令格式，请使用man iptables查看。可以说，现在我们对于网络上的恶意攻击者已经深恶痛绝，但不管怎么说，我们也不能因为憎恨它们就以同样的方法对其实行简单的报复，至少这种事情不能在你的网络里发生。因此，我们也可以很轻易地阻止所有流向攻击者IP地址的数据包，该命令也只是稍有不同：

# iptables -t filter -A OUTPUT -d 123.456.789.0/24 -j DROP

注意这里的A选项，如前所述，使用它说明是给现有的链添加规则。

删除规则

网络上的恶意攻击者总是在变化着的，因此我们也要不断改变IP。假设我们了解的一个网上攻击者转移到了新的IP地址，而其老的IP地址被分配给了一些清白的用户，那么这时这些用户的数据包就无法通过你的网络了。这种情况下，我们可以使用带-D选项的命令来删除现有的规则：

# iptables -t filter -D OUTPUT -d 123.456.789.0/24 -j DROP

缺省的策略

创建一个具有很好灵活性，可以抵御各种意外事件的规则需要花大量的时间。对于那些不想这样做的人，最基本的原则就是“先拒绝所有的数据包，然后再允许需要的”。下面我们来为每一个链设置缺省的规则：