使用iptables建置Linux 防火墙(3)

核心提示： iptables -N LOG_DROPiptables -A LOG_DROP -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES DROP] : 'iptables -A LOG_DROP

iptables -N LOG_DROP

iptables -A LOG_DROP -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES DROP] : '

iptables -A LOG_DROP -j DROP

接着修改所有规则，只要是需进行 DROP 动作，都改为跳到 LOG_DROP 规则炼，例如：

$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j DROP

改为

$IPTABLES -A bad_tcp_packets -p TCP ! --syn -m state --state NEW -j LOG_DROP

至于需要进行 ACCEPT 处理的规则也如法炮制，先建立 LOG_ACCEPT 规则炼：

iptables -N LOG_ACCEPT

iptables -A LOG_ACCEPT -j LOG --log-tcp-options --log-ip-options --log-prefix '[IPTABLES ACCEPT] : '

iptables -A LOG_ACCEPT -j ACCEPT

接着修改所有规则，例如：

$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

改为

$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j LOG_ACCEPT

安装显示分析结果的 PHP 程序：

在解压缩的数据夹中，找到一个叫做 web 的子数据夹，里面就是要给人从网页浏览分析结果的 PHP 程序，如果你的 Apache 已经设定好支持 php 和 php_mysql，那么只要将此数据夹复制到 Apache 的根文件目录就行了。方法如下：

cp -R web /var/www/iptables

拷贝完成后请修改 config.php ，目的是为了让 PHP 程序执行时，能以正确的账号密码连上 MySql ，以便从数据库读取数据，请找到底下三行：

$db_host="localhost";（一般不需修改，除非数据库在另一台主机上）

$db_user="iptables_user";（修改为仅具有读取权限的账号，如果之前安装数据库有自设帐号的话）