使用IP链建立Linux防火墙(3)

　　ipchains -I input 1 -p tcp -y -j DENY

　　你还可用下面这条命令挡住ICMP数据：

　　ipchains -I input 2 -p icmp -j DENY

　　把这两条规则放在最前面，就能保证系统不会随便接收这些数据。下一步，该挡住像ftp、telnet、smtp和pop3之类的一些常用的服务器端口： 　

　　ipchains - A input -p tcp - s 0.0.0.0/0 ftp DENY

　　ipchains - A input -p tcp - s 0.0.0.0/0 telnet DENY

　　ipchains - A input -p tcp - s 0.0.0.0/0 smtp DENY

　　ipchains - A input -p tcp - s 0.0.0.0/0 pop3 DENY 　

　　ipchains - A input -p tcp - s 0.0.0.0/0 nntp DENY

　　如果在连接发送邮件的服务器时出现问题，可以在smtp 和pop3 DENY的规则前面插入一条规则，这样便能使所谓的DENY规则失去作用。不过要保证这条规则的明确性，因为这样才能使得DENY规则失效。通常来说，明确地指明一个IP地址是个不错的做法：

　　ipchains - I 3 input - 1 - p tcp - s mail.mailserver.com pop3 - j ACCEPT

　　ipchains - I 4 input - 1 - p tcp - s mail.mailserver.com smtp - j ACCEPT

　　可以用你发送邮件的服务器的地址替代域名“mail.mailserver.com”，对于一个新的服务器或者任何一个链接有困难的FTP网址，都可以这样做。

　　虽然这些规则是一些基本性的，但有助于建立一个安全有效的防火墙。我们可以在像Gibson Research Center (http://www.grc.com) 和DSL Reports (http://www.secure-me.net/) 之类的网站检测防火墙的安全和有效性。上面两个网站都可以免费提供关于因特网的端口查询。一旦找到了有用的规则，就用ipchain-save命令将这些规则保存到某个文件中。

　　当重新启动系统的时候就可以运用这个保存了规则的文件。键入ipchains-save/etc/ipchains.rules就能保存防火墙设置数据。在重新启动你的系统后保持有关防火墙的设置时，请键入ipchains-restore/etc/ipchains.rules 。当你的系统断电或者重新启动时，Linux系统不会自动保存这些设置数据。