深入分析Linux防火墙(3)

安装ipchains：首先下载或在光盘上找到它的rpm包，然后以root身份登录进入系统，敲入“rpm -ivh ipchains*”的命令来安装ipchains软件包。

配置ipchains的数据包过滤功能：首先依然以root用户身份登录进入系统，接着输入“ipchains-L”命令，查看当前已经存在的链。如果你还没有对这些选项进行过配置的话，应该会看到下面这样的几行：

>chaininput(policyACCEPT);
>chainforward(policyACCEPT);
>chainoutput(policyACCEPT);
>

选择打算配置的链：一个链就是一系列加在一组数据包类型上的规则。inputchain（输入链）指的是进入到防火墙机器中的数据包。 forwardchain（转发链）指的是进入到防火墙机器中而现在又需要发送到网络中的另外一台机器上的数据包。outputchain（输出链）指的是要向外发送的数据包。

然后输入“ipchains -L chain”命令，列出打算编辑的链中当前已经存在的规则。在缺省的情况下，所有的链中的规则都是空白的。再输入“ipchain-Achain”，告诉 ipchains程序需要针对哪个链建立一个新的数据包过滤规则。举例来说，用户可能想对输入链建立些新规则，那么就输入“ipchains -A input”。现在还不能按回车键，还有事情要做。现在需要键入规则本身的内容。我们假定用户想做的设置是：除了从某一台特定的远程工作站点之外，人们没有办法远程登录连接到防火墙后面的任何机器。在你正在建立的那个规则的格式中使用-s(source)标志设置地址（或地址范围），如下：

(1)单个完整的IP地址，比如：192.168.152.24。
(2)整个一类的IP地址范围，比如：192.168.152.0/255.255.255.0—它表示从192.168.152.0到192.168.152.255范围内的地址。
(3)主机名，比如：blue。
(4)完整的域名，比如：blue.cdors.org。
(5)某个IP地址范围，要使用IP地址和网络屏蔽码（netmask）认真地构造之。

我们这个示例的目标是只允许从三台特定的机器上接入远程登录服务，它们的IP地址是192.156.12.1到192.156.12.3。表示这个地址范围的IP地址和网络屏蔽码组合是192.156.12.1/255.255.255.252。现在用户的规则语句看起来应该是这个样子的： ipchains-Ainput-s192.156.12.1/255.255.255.252还是不能按回车键，你还有事情要做。