基于Linux系统的包过滤防火墙(9)

　　关于ICMP类型的更详细的表述参见RFC792。

　　2.2 iptables语法

　　2.2.1 Iptables的优点

　　→ iptables允许建立状态（stateful）防火墙，就是在内存中保存穿过防火墙的每条连接。这种模式对于有效地配置FTP和DNS以及其它网络服务是必要的。

　　→iptables能够过滤TCP标志任意组合报文，还能够过滤MAC地址。

　　→系统日志比ipchains更容易配置，扩展性也更好。

　　→对于网络地址转换（Network Address Translation）和透明代理的支持，Netfilter更为强大和易于使用。

　　→iptables能够阻止某些DoS攻击，例如SYS洪泛攻击。

　　2.2.2 Iptables的规则要素

　　一条iptables规则基本上应该包含5个要素：

　　→指定表（table）

　　→指定操作命令（command）

　　→指定链（chains）

　　→指定规则匹配器（matcher）

　　→指定目标动作（target）

　　(1)表。Iptables从其使用的3个表而得名，分别是filter、nat、mangle。对于包过滤防火墙只使用filter表。表filter是默认的表，无需显示说明。

　　(2)操作命令。包括添加、删除、更新等。

　　(3)链。对于包过滤防火墙可操作filter表中的INPUT链、OUTPUT链和FORWARD链。也可以操作由用户自己定义的自定义链。

　　(4)规则匹配器。可以指定各种规则匹配，如IP地址、端口、包类型等。

　　目标动作。当规则匹配一个包时，真正要执行的任务用目标标识。最常用的内置目标分别是：

　　→ACCEPT表示允许包通过

　　→DROP表示被丢弃

　　此外，包过滤防火墙还可以使用扩展的目标：

　　→REJECT表示拒绝包，丢弃包的同时给发送者发送没有接受的通知。

　　→LOG表示包的有关信息被记录日志。

　　→TOS表示改写包的ToS的值。

　　要使用上述的扩展目标，必须在内核中激活相应选项或者装载了相应的内核模块。

　　2.2.3 Iptables工具的调用语法

　　Iptables的语法非常复杂，要查看该工具的完整语法，应该查看其手册页。

　　Iptables的语法通常可以简化为下面的形式：

　　Iptables[-t table]CMD[chain][rule-matcher][-j target]

　　其中:tables为表名，CMD为操作命令，chain为链名，rule-matcher为规则匹配器，target为目标动作。

　　2.2.4 制定永久性规则

　　iptables软件包提供了两个命令分别用于保存和恢复规则集。可以使用下在的命令转储在内存中的内核规则集。其中/etc/sysconfig/iptables是iptables守护进程调用的默认规则集文件：