深入分析Linux防火墙

核心提示： 配置ipchains的数据包过滤功能：首先依然以root用户身份登录进入系统，接着输入“ipchains-L”命令，深入分析Linux防火墙(4)，查看当前已经存在的链，如果你还没有对这些选项进行过配置的话，比如：blue.cdors.org，(5)某个IP地址范围

配置ipchains的数据包过滤功能：首先依然以root用户身份登录进入系统，接着输入“ipchains-L”命令，查看当前已经存在的链。如果你还没有对这些选项进行过配置的话，应该会看到下面这样的几行：

>chaininput(policyACCEPT);

>chainforward(policyACCEPT);

>chainoutput(policyACCEPT);

>

选择打算配置的链：一个链就是一系列加在一组数据包类型上的规则。inputchain（输入链）指的是进入到防火墙机器中的数据包。 forwardchain（转发链）指的是进入到防火墙机器中而现在又需要发送到网络中的另外一台机器上的数据包。outputchain（输出链）指的是要向外发送的数据包。

然后输入“ipchains -L chain”命令，列出打算编辑的链中当前已经存在的规则。在缺省的情况下，所有的链中的规则都是空白的。再输入“ipchain-Achain”，告诉 ipchains程序需要针对哪个链建立一个新的数据包过滤规则。举例来说，用户可能想对输入链建立些新规则，那么就输入“ipchains -A input”。现在还不能按回车键，还有事情要做。现在需要键入规则本身的内容。我们假定用户想做的设置是：除了从某一台特定的远程工作站点之外，人们没有办法远程登录连接到防火墙后面的任何机器。在你正在建立的那个规则的格式中使用-s(source)标志设置地址（或地址范围），如下：

(1)单个完整的IP地址，比如：192.168.152.24。

(2)整个一类的IP地址范围，比如：192.168.152.0/255.255.255.0—它表示从192.168.152.0到192.168.152.255范围内的地址。

(3)主机名，比如：blue。

(4)完整的域名，比如：blue.cdors.org。

(5)某个IP地址范围，要使用IP地址和网络屏蔽码（netmask）认真地构造之。