基于Linux系统的包过滤防火墙(2)

核心提示： 3)列出表／链中的所有规则，包过滤防火墙只使用filter表，基于Linux系统的包过滤防火墙(2)(6)，此表为默认的表，因此可以使用下面的命令列出filter表中所有规则：＃iptables -L使用上面的命令时，最后向默认的INPUT链加入一条规则，使所有的包都由custom自定义链

3)列出表／链中的所有规则。包过滤防火墙只使用filter表，此表为默认的表，因此可以使用下面的命令列出filter表中所有规则：

＃iptables -L

使用上面的命令时，iptables将逆向解析ＩＰ地址，这将发费很多时间，从而造成信息出来的非常慢。为了解决这个问题，可以使用下面的带有-n参数的命令（-n参数用于显示数字化的地址和端口）：

＃iptables -L -n

4)向链中添加规则。下面的语句用于开放网络接口：

#iptables -A INPUT -i lo -j ACCEPT

#iptables -A OUTPUT -o lo -j ACCEPT

#iptables -A　INPUT -i　eth0 -j ACCEPT　

#iptables -A OUTPUT -o eth0 -j ACCEPT

#iptables -A FORWARD -i eth0 -j ACCEPT

#iptables -A FPRWAED -o eth0 -j ACCEPT

5)使用用户自定义链。下面是一个用户自定义链的创建、修改和调用的简单命令序列：

＃iptables -N custom

#iptables -A custom -s 0/0 -d 0/0 -p icmp -j DROP

#iptables -A INPUT -s 0/0 -d 0/0 -j custom

首先使用带-Ｎ参数的iptables命令新建了一个名为custom的用户逢定义链。然后使用带-A参数的命令添加了一条用户自定义的堵截规则，该规则丢弃全部的ICMP包。最后向默认的INPUT链加入一条规则，使所有的包都由custom自定义链处理。结果全部的ICMP包都将被丢弃。

2.3.2 设置基本的规则匹配

下面举例说明iptables的基本规则匹配（忽略目标动作）：

（1）指定协议匹配

1)匹配指定的协议

#iptables -A INPUT -p tcp

2）匹配指定协议之外的所有协议

#iptables -A INPUT -p !tcp

(2)指定地址匹配

1）指定匹配的主机