使用iptables建置Linux 防火墙

核心提示：防火墙在校园内一直被认为陌晦高深，很少有系管师有勇气进行计划性的实验，使用iptables建置Linux 防火墙，基本上这份讲义也可以当成测试报告来阅读，是笔者秉持我不入地狱、谁入地狱的精神，要进行封包过滤，防火墙必须要能分析通过封包的来源 IP 与目的地 IP，冒着生命危险，蛮干出来的成果

防火墙在校园内一直被认为陌晦高深，很少有系管师有勇气进行计划性的实验，基本上这份讲义也可以当成测试报告来阅读，是笔者秉持我不入地狱、谁入地狱的精神，冒着生命危险，蛮干出来的成果，也藉此抛砖引玉，希望能带动国内能力高于笔者许多的众家高手，一起来进行有利于校园网络的公益研究！

壹、什么是防火墙

防火墙是一套能够在两个或两个以上的网络之间，明显区隔出实体线路联机的软硬件设备组合。被区隔开来的网络，可以透过封包转送技术来相互通讯，透过防火墙的安全管理机制，可以决定哪些数据可以流通，哪些资料无法流通，藉此达到网络安全保护的目的。

防火墙产品可以概略归类为硬件式防火墙和软件式防火墙，但实际上无论是硬件式或软件式防火墙，它们都需要使用硬件来作为联机介接，也需要使用软件来设定安全政策，严格说两者间的差别并不太大。我们只能从使用的硬件与操作系统来加以区分，硬件式防火墙是使用专有的硬件，而软件式防火墙则使用一般的计算机硬件，硬件式防火墙使用专有的操作系统，而软件式防火墙则使用一般的操作系统。

防火墙依照其运作方式来分类，可以区分为封包过滤式防火墙 (Packet Filter) 、应用层网关式防火墙 (Application-Level Gateway，也有人把它称为 Proxy 防火墙)、电路层网关式防火墙 (Circuit-Level Gateway)。其中被广为采用的是封包过滤式防火墙，本文要介绍的 iptables 防火墙就是属于这一种。

封包过滤是最早被实作出来的防火墙技术，它是在 TCP/IP 四层架构下的 IP 层中运作。封包过滤器的功能主要是检查通过的每一个 IP 数据封包，如果其标头中所含的数据内容符合过滤条件的设定就进行进一步的处理，主要的处理方式包含：放行（accept）、丢弃（drop）或拒绝（reject）。要进行封包过滤，防火墙必须要能分析通过封包的来源 IP 与目的地 IP，还必须能检查封包类型、来源埠号与目的埠号、封包流向、封包进入防火墙的网卡接口、TCP的联机状态等数据。