Linux免费防火墙试用手记

核心提示： ipchains -A output -i eth0 -d 192.168.1.0/24 -j ACCEPT 刚开始的两行告诉路由器接收所有流入的信息，放行所有流出的信息，Linux免费防火墙试用手记(4)，第三行和第四行为内部网网卡eth0建立一些流入和流出的规则， 这其中： * -i选

ipchains -A output -i eth0 -d 192.168.1.0/24 -j ACCEPT

刚开始的两行告诉路由器接收所有流入的信息，放行所有流出的信息。第三行和第四行为内部网网卡eth0建立一些流入和流出的规则。

这其中：

* -i选项指定要应用规则的接口（在第一行中是lo，在最后两行中使用的是eth0）。

* -A告诉路由器要增加一个规则。

* -j告诉路由器如何处理数据包。

* -s指示源地址（对于输入而言）。

* -d指明目的地址（对于输出而言）。

第三行在内部网(eth0)上创建了一个输入规则，允许路由器接收所有源地地址为192.168.1.0/24的数据包。第四行指明，所有去往以上地址的数据包都可以通行。

转发

下面，我们将增加一些规则，控制流出数据的转发：

ipchains -A forward -i eth1 -s 192.168.1.0/24 -j MASQ

ipchains -A forward -i eth0 -s 192.168.1.0/24 -j ACCEPT

ipchains -A forward -i eth0 -d 192.168.1.0/24 -j ACCEPT

这三条转发的规则非常的简单。第一行告诉路由器允许所有源地址为192.168.1.0的数据都可以发到Internet上。-j MASQ选项告诉路由器要使用IP伪装，这使得多个内部网主机可以使用同一个IP地址来访问Internet。接下来两行创建的规则，允许路由器转发所有源自或者送往内部网192.168.1.0的数据包。

到此，最基本的东西就已经配置完成。但是，有时，我们可能需要限制一些内部网里的用户对 Internet的访问。要做到这一点，我们可以让用户使用不同的子网，这样，他的IP地址和规则不相符，那么所有源自这些主机的数据包就不能转发到 Internet。类似地，我们却可以让这些用户使用其它的服务（比如e-mail服务等）。