使用IPtables搭建防火墙的规则(2)

　　# iptables -t filter -A OUTPUT -d 123.456.789.0/24 -j DROP

　　注意这里的A选项，如前所述，使用它说明是给现有的链添加规则。

　　删除规则

　　网络上的恶意攻击者总是在变化着的，因此我们也要不断改变IP。假设我们了解的一个网上攻击者转移到了新的IP地址，而其老的IP地址被分配给了一些清白的用户，那么这时这些用户的数据包就无法通过你的网络了。这种情况下，我们可以使用带-D选项的命令来删除现有的规则：

　　# iptables -t filter -D OUTPUT -d 123.456.789.0/24 -j DROP

　　缺省的策略

　　创建一个具有很好灵活性，可以抵御各种意外事件的规则需要花大量的时间。对于那些不想这样做的人，最基本的原则就是“先拒绝所有的数据包，然后再允许需要的”。下面我们来为每一个链设置缺省的规则：

　　# iptables -P INPUT DROP

　　# iptables -P FORWARD DROP

　　# iptables -P OUTPUT ACCEPT

　　这里选项-P用于设置链的策略，只有三个内建的链才有策略。这些策略可以让信息毫无限制地流出，但不允许信息流入。但很多时候，我们还是需要接收外部信息的。这时可使用以下命令：

　　# iptables -t filter -A INPUT -s 123.456.789.0/24 -j ACCEPT

　　SYN的使用

　　我们不能关闭所有的端口，那将会把我们自己完全“与世隔绝”。我们也不能只指定某些端口处于打开状态，因为我们无法预见哪一个端口将会被使用。事实上，只简单地允许目的地为某一特定端口的数据流通过将对阻止恶意的攻击毫无意义。那么我们怎样才能设置一个有效的规则，即可以允许普通用户正常通过，又可以阻止恶意攻击者访问我们的网络呢？

　　对于刚开始使用iptables的人，我们可以充分利用syn标识来阻止那些未经授权的访问。因为iptables只检测数据包的报头，所以不会增加有效负荷。事实上，除iptables以外，很多其它有用的数据包分析都是基于报头的。

　　比如，在进行Web冲浪时，一个请求从你的PC发送至其它某一个地方的Web服务器之上，接着该服务器就会响应请求并且向你发回一个数据包，并且得到你的系统上的一个临时端口。与响应请求不同的是，服务器并不关心你所传送的内容。这们可以利用这种特点，来设置一个规则，让它阻止所有没有经过你的系统授权的TCP连接：

　　# iptables -t filter -A INPUT -i eth0 -p tcp --syn -j DROP