简易防火墙建置与流量统计(5)

　　举例来说，你可能要去拒绝从 IP 位址 192.168.1.3 的 ICMP 的封包，所以在这里我们的条件必须是协定 ICMP 及来源位址必须是 192.168.1.3，目的地为 192.192.69.39 这台主机(若不设则为全部)，目标是’DENY’。

　　指令写法为：

　　ipchains -A input -p icmp -s 192.168.1.3 -d 192.192.73.35 -j REJECT

　　5.2 命令的用法

　　增加新的规则 -A：

　　我们增加(-A)’input’的规则，要指明封包的来源位址(‘-s 192.168.1.3’)及协定(‘-p ICMP’)，及应该结果为拒绝(‘-j DENY’)。

　　范例：

　　ipchains -A input -s 192.168.1.3 -p icmp -j DENY

　　说明：拒绝来自192.168.1.3的icmp封包。

　　删除规则 -D：

　　我们删除 ipchains 规则有两种方法，首先我们知道在’input’的规则中只有一个(刚刚上面所增加的)，也是第一个，所以我们可以使用数字来删除.。

　　范例：

　　ipchains -D input 1

　　说明：删除input规则中的第一条。

　　第二种方法是跟增加新的规则差不多，只不过是增加(-A)换成了删除(-D)，这种方法在你如果设定了很多的规则的时候很好用，你可以不必去数它到底是第几个，只要照打一遍就行了，当然必须要一模一样才行。

　　范例：

　　ipchains -D input -s 192.168.1.3 -p icmp -j DENY

　　5.3 指定协定种类

　　使用 '-p'来指定协定种类，其中协定分为 'TCP' (Transmission Control Protocol)、'UDP' (User Datagram Protocol)、'ICMP' (Internet Control Message Protocol)或是全部(all)，在这的协定写法没有分大小写，能以数字代替协定。

　　在 /etc/protocols 中有注明各种协定，其中 tcp 为 6，udp 为 17，icmp 为 1。

　　TCP(传输控制协定)：

　　位于应用层，如果应用程序(http、ftp)需要可靠性高的资料传输方式，那么就可以采用 TCP，TCP 会去检查资料是否安全到达，否则就重新发送资料。将传输的资料以 TCP 格式成为资料段，交由网络层的 IP 协定去处理，每一段资料含有一个检查值，接收者用它来验证资料是否受损，如果接收的资料没有损坏，会传回确认回去；如果资料有损会便会丢弃。TCP 具有可靠性及连线性。

　　UDP(使用者资料协定)：

　　位于应用层，让应用程序直接使用封包传送服务，如 IP 提供的传送服务，UDP 协定并不会去检查封包是否安全到达目的地，因此传送速度快，但却是一个不可靠、非连线性的封包协定。

　　ICMP(网络控制讯息协定)：