使用IPtables搭建防火墙的规则(4)

　　规则的保存

　　使用脚本更改规则的问题是：改动每个规则都要调用命令iptables，而每一次调用iptables，它首先要把netfilter内核空间中的整个规则集都提取出来，然后再插入或附加，或做其他的改动，最后，再把新的规则集从它的内存空间插入到内核空间中,这显然会花费很多时间。

　　为了解决这个问题，可以使用命令iptables-save和restore 。iptables-save用来把规则集保存到一个特殊格式的文本文件里，而iptables-restore则用来把这个文件重新装入到内核空间中。

　　这两个命令最好的地方在于一次调用就可以装载和保存规则集，而不像脚本中每个规则都要调用一次iptables。

　　iptables-save运行一次就可以把整个规则集从内核里提取出来，并保存到文件里，而iptables-restore每次装入一个规则表。换句话说，对于一个很大的规则集，如果用脚本来设置，那这些规则就会反复地被卸载、安装很多次，而我们现在可以把整个规则集一次就保存下来，安装时则是一次一个表，这可是节省了大量的时间。所以，一旦测试结果令你满意，你就可以将它们保存为脚本：

　　# iptables-save >iptables-script

　　现在，信息包过滤表中的所有规则都被保存在文件iptables-script中。无论何时再次引导系统，都可以使用 iptables-restore 命令将规则集从该脚本文件恢复到信息包过滤表，恢复指令如下所示：

　　# iptables-restore iptables-script

　　如果您愿意在每次引导系统时自动恢复该规则集，则可以将上面指定的这条命令放到任何一个初始化shell脚本中。

　　事实上，大部分发行版都为用户提供了一个可以自动加载的文件，让用户在其中编辑规则集，并且大部分发行版都会有一个已经预先配置好的防火墙。不同的发行版的配置文件位置不尽相同，我们可以使用命令locate iptables来找到配置文件。对于Red Hat或者 Fedora Core而言，这个配置文件位于/etc/sysconfig/iptables。该文件初始的内容如下：

　　1 # Firewall configuration

　　2 *filter

　　3 :INPUT [0:0]

　　4 :FORWARD [0:0]

　　5 :OUTPUT [0:0]

　　6

　　7 # your rules here

　　8

　　9 COMMIT

　　建议将其基本框架改成以下内容：

　　1 *filter

　　2 :INPUT DROP [0:0]

　　3 :FORWARD DROP [0:0]

　　4 :OUTPUT ACCEPT [0:0]

　　5

　　6 # allow local loopback connections

　　7 -A INPUT -i lo -j ACCEPT

　　8

　　9 # drop INVALID connections

　　10 -A INPUT　 -m state --state INVALID -j DROP

　　11 -A OUTPUT　-m state --state INVALID -j DROP

　　12 -A FORWARD -m state --state INVALID -j DROP

　　13

　　14 # allow all established and related

　　15 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

　　16

　　17 # add anymore rules here

　　18

　　19 COMMIT