简易防火墙建置与流量统计(4)

　　--new -N 产生一个新的使用者定义规则(user-defined)。

　　--delete-chain -X 删除使用者定义的规则，如果没有指定任何的参数，它将会所有的定义的规则。

　　--policy -P 设定目标的政策，只有 input,forward,output 可以去设定。

　　--masquerade -M 这个选项可以去查看现在的伪装连接状况(须加上-L 选项)，或是去设定 kernel 伪装参数(-S选项)。

　　--set -S 设定伪装停止时间变数

　　--help -h 列出描述命令语法的说明。

　　4.3 ipchains参数选项

　　可以有两种形式来指定，全名方式或缩写方式来表示

　　使用’!’去定义相反的意义：惊叹号’!’有’not’的意义，有许多选项可以加上’!’去使用，表示不是的意思。

　　例如： -s ! localhost

　　说明： 表示除了localhost的来源位址都可以。

　　--proto -p [!] protocol 协定：可以用数字或名字，例如：tcp、icmp、udp及all。

　　范例：

　　ipchains -A input -p tcp -s 192.168.1.3 -d eef.oit.edu.tw ftp -j DENY

　　说明：源地址为 192.168.1.3 的主机不能对 eef.oit.edu.tw 这台主机做 ftp 的动作请求。

　　--source -s [!] 指定来源位址。

　　--source-port [!] port 指定来源的port。

　　--destination -d [!] 指定目的地位址

　　--destination-port [!] 指定目的地的port

　　--icmp-type [!] 类型名称，指定ICMP类型

　　--interface -i [!] 网络接口名称 ，lo、eth0、eth1。

　　--jump -j 指定规则的目标，如果没有指定的话，这条规则算是没有用处。

　　--numeric -n 取消DNS查询，直接使用IP

　　--log -l 将关于ipchains的讯息记录起来，记录于/var/log/messages内。

　　--verbose -v 完整模式，会列出界面名称、规则、TOS伪装，封包和位元组计数也会列出，须和-L一起使用。

　　[!] --syn -y 只有当SYN设定时才会符合TCP封包

　　--TOS -t Type Of Service

　　[!] --version -V 列出ipchains的版本

　　--bidirectional -b 双向模式

　　5. 封包过滤防火墙ipchains的操作规则

　　5.1 ipchains规则

　　首先列出 ipchains 的规则表出来：

　　ipchains -L

　　分为三大部分：

　　input chains：输入时的过滤规则例如：

　　ipchains -A input -p tcp -s 192.168.1.3 -d 192.192.69.36 www -j DENY

　　禁止 192.168.1.3 的来源位址去存取目的地 192.192.69.36 的网页

　　forward chain ：执行 IP 伪装的规则例如：

　　ipchains -A forward -s 192.168.1.0/24 -d 0.0.0.0/24 -j MASQ

　　启动 192.168.1.0~255 的 IP 伪装

　　output chain：输出时的过滤规则(与 input 相反)例如：

　　ipchains -A output -p tcp -s 192.192.69.36 www -d 192.168.1.3 -j DENY

　　功用与 input 相同，只不过来源地址、目的地位址要对换

　　每个所设的规则必须要去符合情况，以及要做些什么(目标)。