基于Linux系统的包过滤防火墙(2)

核心提示： →ACCEPT表示允许包通过→DROP表示被丢弃此外，包过滤防火墙还可以使用扩展的目标：→REJECT表示拒绝包，基于Linux系统的包过滤防火墙(2)(4)，丢弃包的同时给发送者发送没有接受的通知，→LOG表示包的有关信息被记录日志，并可以使用如下

→ACCEPT表示允许包通过

→DROP表示被丢弃

此外，包过滤防火墙还可以使用扩展的目标：

→REJECT表示拒绝包，丢弃包的同时给发送者发送没有接受的通知。

→LOG表示包的有关信息被记录日志。

→TOS表示改写包的ToS的值。

要使用上述的扩展目标，必须在内核中激活相应选项或者装载了相应的内核模块。

2.2.3 Iptables工具的调用语法

Iptables的语法非常复杂，要查看该工具的完整语法，应该查看其手册页。

Iptables的语法通常可以简化为下面的形式：

Iptables[-t table]CMD[chain][rule-matcher][-j target]

其中:tables为表名，CMD为操作命令，chain为链名，rule-matcher为规则匹配器，target为目标动作。

2.2.4 制定永久性规则

iptables软件包提供了两个命令分别用于保存和恢复规则集。可以使用下在的命令转储在内存中的内核规则集。其中/etc/sysconfig/iptables是iptables守护进程调用的默认规则集文件：

#/sbin/iptables-save >; /etc/sysconfig/iptables

要恢复原来的规则库，需使用命令：

#/sbin/iptables-restore < /etc/sysconfig/iptables

为了使得用iptables命令配置的规则在下次启动机器时还能被使用，有两种主法。

(1)使用iptables的启动脚本实现。Iptables的启动脚本/etc/rc.d/init.d/iptables每次启动时都使用/etc/sysconfig/iptables所提供的规则进行规则恢复，并可以使用如下的命令保存规则：

#service iptables save

(2) 在自定义脚本中用iptables命令直接创建规则集。可以直接用iptables命令编写一个规则脚本，并在启动时执行这个脚本。