基于Linux系统的包过滤防火墙(11)

　　＃iptables -L -n

　　4)向链中添加规则。下面的语句用于开放网络接口：

　　#iptables -A INPUT -i lo -j ACCEPT

　　#iptables -A OUTPUT -o lo -j ACCEPT

　　#iptables -A INPUT -i eth0 -j ACCEPT

　　#iptables -A OUTPUT -o eth0 -j ACCEPT

　　#iptables -A FORWARD -i eth0 -j ACCEPT

　　#iptables -A FPRWAED -o eth0 -j ACCEPT

　　5)使用用户自定义链。下面是一个用户自定义链的创建、修改和调用的简单命令序列：

　　＃iptables -N custom

　　#iptables -A custom -s 0/0 -d 0/0 -p icmp -j DROP

　　#iptables -A INPUT -s 0/0 -d 0/0 -j custom

　　首先使用带-Ｎ参数的iptables命令新建了一个名为custom的用户逢定义链。然后使用带-A参数的命令添加了一条用户自定义的堵截规则，该规则丢弃全部的ICMP包。最后向默认的INPUT链加入一条规则，使所有的包都由custom自定义链处理。结果全部的ICMP包都将被丢弃。

　　2.3.2 设置基本的规则匹配

　　下面举例说明iptables的基本规则匹配（忽略目标动作）：

　　（1）指定协议匹配

　　1)匹配指定的协议

　　#iptables -A INPUT -p tcp

　　2）匹配指定协议之外的所有协议

　　#iptables -A INPUT -p !tcp

　　(2)指定地址匹配

　　1）指定匹配的主机

　　#iptables -A INPUT -s 192.168.1.1

　　2）指定匹配的网络

　　#iptables -A INPUT -s 192.168.1.0/24

　　3)匹配指定主机之外的地址。

　　#iptables -A FORWARD -s ! 192.168.0.1

　　4）匹配指定网络之外的网络

　　#iptables -A FORWARD -s ! 192.168.0.0/24

　　(3)指定网络接口匹配。

　　1）指定单一的网络接口匹配。

　　#iptables -A INPUT -i eth0

　　#iptables -A FORWARD -o eth0

　　2)指定同类型的网络接口匹配

　　#iptables -A FORWARD -o ppp+

　　(4)指定端口匹配

　　1）指定单一的端口匹配。

　　#iptables -A INPUT -p tcp-sport www

　　#iptables -A INPUT -p tcp-sport 80

　　#iptables -A INPUT -p tcp-sport 53

　　#iptables -A INPUT -p udp-dport 53

　　2）匹配指定端口之外的端口。

　　#iptables -A INPUT -p tcp-dport ! 22

　　3）匹配指定端口的范围。

　　#iptables -A INPUT -p tcp-soprt 22:80

　　4)匹配ICMP端口和ICMP类型。

　　#iptables -A INPUT -p icmp --icmp-type 8

　　5)指定ip碎片

　　在TCP/IP通信过程中，每一个网络接口都有一个最大的传输单元（MTU），这个参数定义了可以通过的数据包的最大尺寸。如果一个数据包大于这个参数值时，系统会将其划分成更小的数个数据包（称之为ip碎片）来传输，而接收方则对这些ip碎片再进行重组以还原整个包。