用iptable来提高网络安全(5)

　　备份

　　当然，您所要做的第一件事情就是备份您原有的iptable配置，这样当您今后遇到麻烦的时候就可以简单地还原它了。备份的工作非常简单也不需要太多思考，但需要您做出一些决定，您可以在命令行中通过“iptables –L”命令来看一下当前的iptable配置，但这一命令并没有提供当前配置的太多的信息，如果为了今后重复使用而对现有配置进行备份，您需要使用iptables-save命令，输入“iptables-save”，不需要任何参数，输出的结果将显示netfilter在系统中运行时的iptable规则，这些正是我们所要存储的数据。

　　您所要做出的第一个决定是在什么地方存储您的iptable配置文件，一种选择是在很多使用说明中所建议的：在/var/lib/iptables目录中使用（或创建）一个目录来存储您的配置文件，另一种方法：既然在配置iptable时您是根用户（root user），那就可以存储在/root目录或任何一个子目录中。

　　在其他的情况下，您一定要确认您选择的目录路径和文件名不会模糊不清使您会忘记它们或忘记如何找到它们。如果您将它们存储在明为iptable的目录中，那么将原有的iptable配置存储为saved.cfg就足够了，如果不是的话，您可以将它存储为iptables.saved，如果您需要使用三个字母的扩展名，或许您可以用iptables.bak的名字。

　　假设您要将文件存储在/var/lib/iptables/saved.cfg，那么您备份现有配置的方法如下：首先，浏览到该目录（使用诸如cd /var/lib/iptables的命令），然后输入命令iptables-save >saved.cfg。

　　如果您对此不熟悉的话，“>”字符是一个非常有用而且应用广泛的外壳程序操作符，通常用于“重定向”。基本上，它将命令左边的内容输出到重定向操作符右边的文件中，还有另一个方向的重定向操作符“<”，我后面会用到它，基本上，它做的是相反的事情（如您所猜测的）：它获取重定向操作符右手边的文件中的内容，然后发送到命令的左手边，通过运行iptables-save >saved.cfg，您可以生成一个空文件，然后将iptables-save的输出结果存在该文件中。

　　如果您感觉您需要撤销您对iptable设置所做出的所有改变，并恢复到发布版本的初试状态（假设这就是您弄乱这些设置之前的状态），您可以简单地输入iptables-restore

　　有了这些知识的武装，您已经具备了实现我所描述的iptable管理系统所需的大部分信息，当然我不会残忍地让您去完成自己的配置，毕竟从在这一刻开始将要生成最初的实现，在后面的学习中也将越来越容易。

　　刷新设置

　　在新系统上备份了最初的iptable配置之后，我们要做的下一件事情就是将iptable设置刷新为：

　　iptables-F -t filter

　　iptables-F -t nat, and

　　iptables-F -t mangle

　　从技术上讲，这三个命令中的第一个并不需要使用“-t filter”参数，因为过滤列表是iptable命令的默认目标，但是写清楚这个参数也不会造成损害，如果需要查找iptable配置中更多的表格，您可以参考用户手册中的说明。

　　您或许并不需要亲自实施这项任务，尽管这样做不会造成任何损害，我有时这样做是因为我偶尔要从零开始创建新的iptable配置，我发现从零开始要比从一个模板配置开始容易些，就像我后面将要提供的例子一样。

　　当然，这接下来的步骤就要使用我在应用Linux的工作中从帮助文件和其他参考资料中获取的iptable规则的操作知识来制作一个有价值的、安全的iptable配置。您可以从接收这个免费的成果中获益，在接下来的几节中我将介绍这个适度安全的配置模板。