深入分析Linux防火墙(4)

围绕某个特定的协议建立一条规则的选择太多了，但是用户可以为你选定的进程指定其端口（port）来细化那条规则。用户可以把端口的名称加到规则的末尾，也可以用一个冒号引导该端口的端口号。从/etc/services文件中可以查到任何网络服务所使用的端口号。现在这条规则看起来是下列这两行文字中的某个样子：

ipchains-Ainput-s192.156.12.1/255.255.255.252-pTCP:23ALLOW
ipchains-Ainput-s192.156.12.1/255.255.255.252-pTCPTelnetALLOW

现在可以按下回车键了。用户在确实屏蔽了其他接入类型之前，这条规则实际上还是没有什么用处的。最好的解决方法(因为我们的目的是为用户所有希望允许的东西建立规则)是使用-P（policy）标志（注意是大写字母）屏蔽所有的输入，然后ipchains就会去检查特定的规则看看到底什么才能被允许进入。这样的一个策略语句如下所示：ipchains-PinputDENY

在重启动/关机之前保存数据包过滤规则：没有哪个配置文件是用来自动保存数据包过滤规则供你下次启动机器的时候使用的。因此，选择某种方法自己来完成这项工作就十分重要，否则下一次你就还得从头一点一滴地重新写出所有的规则。下面介绍一个保存数据包过滤规则的方法：先以root身份登录进入系统，再使用ipchains-save脚本程序把用户已经编写好的规则设置保存到一个文件中去，比如/root/ipchains-settings文件。输入“ipchains-save>/root/ipchains-settings”。

开机引导后恢复数据包过滤规则：用户在计算机重启动之后，必须恢复数据包过滤规则。请按照下面的方法完成这项任务：先以root身份登录进入系统，再使用ipchains-restore脚本程序在某个文件中检索用户已经编写好的规则，比如从文件/root/ipchains-settings 中恢复数据包过滤规则。如下所示，输入“ipchains-restore<>

如果要想实现代理防火墙功能，需要安装能够控制用户从某个网络的外部可以使用和不可以使用什么样的网络服务功能的软件。代理防火墙不允许有任何连接接入到它后面的机器上（当然也不是绝对的），不存在任何数据包过滤的效果，从接入连接的角度考虑，它就是一堵密不透风的砖墙。可以如下设置：