如何用奔腾机和Linux构建防火墙(5)

　　ipchains -X 删除已有链

　　ipchains -L 列出链中的所有规则

　　ipchains -F 删除链中的所有规则，但仍保留该链

　　ipchains -Z 删除与链相关的统计数据

　　ipchains -P 设置链的全部策略（接受 ACCEPT, 否决 DENY, 拒绝 REJECT, 屏蔽 MASQ, 改向 REDIRECT, 返回 RETURN 等)

　　ipchains -M -L 列出所有使用屏蔽的链

　　ipchains -M -S 对所有使用屏蔽的链，根据协议不同而分配若干超时限制

　　表 3: 定义过滤规则的命令

　　命令 陈述

　　ipchains -A 将规则添加到链中

　　ipchains -D 根据规则在链中的位置，删除该规则

　　ipchains -R 根据规则在链中的位置，用新规则取代它

　　ipchains -I 将新规则插入到链中的指定位置

　　ipchains -C 使用链中的规则来过滤 protocol-info中的内容，从而测试该链

　　表 3 中的过滤规则命令需要指定源和目的地址、协议类型和相关的端口号、其他IP协议的标志、以及所施行于它们的规则。这些规则条目可以逐一列出，以便或含糊或准确的描述被过滤掉的包的类型。

　　源地址 (-s) 和目的地址 (-d) 具有相同的格式。您可以具体指定单个主机地址或某网络的一组主机地址。前一种情况，只需要插入主机地址；后一种情况则需要指定网络地址和网络地址掩码或比特掩码。比特掩码和网络掩码的作用是一样的，不同于网络掩码给定四组十进制数，它从网络掩码的左端开始计入比特数。例如，网络掩码 255.255.255.0 等效于比特掩码 24，255.255.224.0 等效于 19。不方便的是，您不能指定任意范围的网络地址，比如从 192.168.1.1 到 192.168.1.133 ―― 因为您无法用合适的网络掩码来表示它们。这个软件不得不这么工作，因为想要使它有效地过滤任意一段网络地址实在是太困难了。

　　规则 陈述

　　-d 192.168.1.24 -j ACCEPT 接受所有发送到 192.16.1.24 (Jane) 的包

　　-d 192.168.0.0/255.255.224.0 -j DENY 拒绝所有试图到达 192.168.1.0 到 192.168.31.255 范围中某个地址的数据包，这就意味着 Bob, Fred 和 Jane 的主机都被保护起来，而 Olivia 则没有。

　　-d 192.168.0.0/19 -j DENY 和上一命令相同，只是用比特掩码来表示范围的结束地址。

　　上面的例子展示了目的地址的细节(用 -d )，但和源地址的用法是相同的(只是代之以 -s )。下一个策略组件是协议类型。ipchains 支持三种常用的传输协议类型：TCP、UDP 和 ICMP。其他协议仍处于试用阶段，这里略过不谈。