# iptables --help<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

iptables v1.3.5

 

配置iptables静态防火墙

初始化防火墙

iptables  -F  // --flush   -F [chain]  Delete all rules in  chain or all chains

iptables  -X  // --delete-chain   -X [chain]    Delete a user-defined chain

iptables  -Z  // --zero  -Z [chain]       Zero counters in chain or all chains

利用iptables配置您自己的防火墙之前,首先要清除任何以前配置的规则。

配置规则:

配置默认策略

iptables -P INPUT DROP

这一条命令将阻止任何从网络进入电脑的数据包丢弃(drop)。此时,假如您ping 127.0.0.1,您就会发现屏幕一直停在那里,因为ping收不到任何应答数据包。

创建用户自定义的链

iptables -N MYINPUT

#iptables -N MYDROPLOG

添加规则

iptables -A INPUT -j MYINPUT

这条规则将任何进入电脑的包转发到自定义的链进行过滤。

iptables -A MYINPUT -p icmp -j ACCEPT

此时再输入命令 ping 127.0.0.1,结果还会和刚才相同吗?

假如要访问www服务

iptables -A MYINPUT -p tcp --sport 80 -j ACCEPT

iptables -A MYINPUT -p udp --sport 53 -j ACCEPT

 

#iptables -A MYINPUT -j MYDROPLOG

#iptables -A MYDROPLOG -j DROP

记录日志

#iptables -I MYDROPLOG 1 -j LOG --log-prefix ' IPTABLES DROP LOGS:' --log-level debug

这样任何被丢弃的网络数据包都被记录下来了,访问网络的周详信息能够查看日志。至此,一个安全的个人静态防火墙已构建,能够根据访问网络的具体需求再次配置防火墙,满足各种需求。

查看防火墙

iptables -L --line-number

 

如下常规脚本:

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />