使用iptables建置Linux 防火墙(3)

　2006-04-03 12:36:12　来源：WEB开发网　　　

核心提示： $IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_DNS_IP --dport $DNS -j ACCEPT# 限制过滤规则的比对频率为每分钟平均流量三个封包（超过上限的封包将暂停比对），并将瞬间流量设定为一次

$IPTABLES -A FORWARD -p UDP -i $INET_IFACE -o $LAN_IFACE -d $LAN_DNS_IP --dport $DNS -j ACCEPT

# 限制过滤规则的比对频率为每分钟平均流量三个封包（超过上限的封包将暂停比对），并将瞬间流量设定为一次最多处理三个封包（超过上限的封包将丢弃不予处理），这类封包通常是骇客用来进行阻断式攻击　

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "

#

# 4.1.6 OUTPUT chain（过滤从防火墙送出的封包）

#

# 从防火墙送出的 TCP 封包必须先进行 bad_tcp_packets 过滤

$IPTABLES -A OUTPUT -p TCP -j bad_tcp_packets

# 从防火墙网卡送出的所有封包，通通放行

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT