基于Linux系统的包过滤防火墙(2)

核心提示： 例如：若规则脚本的文件名为/etc/fw/rules,则可以在启动脚本/etc/rd.d/init.d/rc.local中加入下面的代码：if[-x /etc/fw/rules];then /etc/fw/rules;fi;这样，机器每次启动时即可执行该规则脚本，基于Linux系统的包过滤

例如：若规则脚本的文件名为/etc/fw/rules,则可以在启动脚本/etc/rd.d/init.d/rc.local中加入下面的代码：

if[-x /etc/fw/rules];then /etc/fw/rules;fi;

这样，机器每次启动时即可执行该规则脚本。

如果使用此种方式，建议使用ntsysv命令关闭系统的iptables守护进程。

2.3 iptables命令使用举例

2.3.1 链的基本操作

（1）清除所有的规则。通常在开始配置包过滤防火墙之初清除所有的规则，重新开始配置，以免原有的规则影响新的设定。使用如下命令进行：

1）　　　　清除预设表filter中所有规则链中的规则。

＃iptables -F

2)清除预设表filter中使用者自定义链中的规则。

＃iptables -X

3)将指定链所有规则的包字节记数器清零。

＃iptables -Z

(2)设置链的默认策略。一般地，配置链的默认策略有两种方法。

1）　　　　首先允许所有的包，然后再禁止有危险的包通过防火墙。即“没有被拒绝的都允许”。这种方法对于用户而言比较灵活方便，但对系统而言，容易引起严重的安全问题。

为此，应该使用如下的初始化命令：

#iptables -P INPUT ACCEPT

#iptables -P OUTPUT ACCEPT

#iptables -P FORWARD ACCEPT

2）　　　　首先禁止所有的包，然后再根据需要的服务允许特定的包通过防火墙。即“没有明确允许的都被拒绝”。这种方法最安全，但不太方便。为了使得系统有足够的安全性，一般采用此种策略进行iptables防火墙的配置。

为此，应该使用如下的初始化命令：

#iptables -P INPUT DROP

#iptables -P OUTPUT DROP

#iptables -P FORWAED DROP