使用iptables建置Linux 防火墙

核心提示： 而 iptables 是采用规则堆栈的方式来进行过滤，当一个封包进入网卡，使用iptables建置Linux 防火墙(5)，会先检查 Prerouting，然后检查目的 IP 判断是否需要转送出去，IP 数量需要两组 C，所有 IP 均需作 IP 伪装 2. 校园内安全需求不高，接着就会跳

而 iptables 是采用规则堆栈的方式来进行过滤，当一个封包进入网卡，会先检查 Prerouting，然后检查目的 IP 判断是否需要转送出去，接着就会跳到 INPUT 或 Forward 进行过滤，如果封包需转送处理则检查 Postrouting，如果是来自本机封包，则检查 OUTPUT 以及 Postrouting。过程中如果符合某条规则将会进行处理，处理动作除了 ACCEPT、REJECT、DROP、REDIRECT 和 MASQUERADE 以外，还多出 LOG、ULOG、DNAT、SNAT、MIRROR、QUEUE、RETURN、TOS、TTL、MARK 等，其中某些处理动作不会中断过滤程序，某些处理动作则会中断同一规则炼的过滤，并依照前述流程继续进行下一个规则炼的过滤（注意：这一点与 ipchains 不同），一直到堆栈中的规则检查完毕为止。透过这种机制所带来的好处是，我们可以进行复杂、多重的封包过滤，简单的说，iptables 可以进行纵横交错式的过滤（tables）而非炼状过滤（chains）。

虽然 iptables 为了扩充防火墙功能，而必须采用比较复杂的过滤流程，但在实际应用时，同一规则炼下的规则设定还是有先后顺序的关系，因此在设定规则时还是必须注意其中的逻辑。

肆、订定校园网络安全政策

在实际设定防火墙之前，我们必须根据校园网络的安全需求，先拟定一份安全政策，拟定安全政策前必须搜集以下资料：

1. 找出需要过滤保护的服务器

2. 条列出被保护的服务器将提供何种网络服务

3. 一般工作站，需要何种等级的保护

4. 了解网络架构与服务器摆放位置

根据这些数据，我们可以决定安全政策，以石牌国小为例：

1. 校内使用 NAT 虚拟网络，IP 数量需要两组 C，所有 IP 均需作 IP 伪装

2. 校园内安全需求不高，服务器与工作站摆在同一网段，不需采用 DMZ 设计