常用 iptables 過(guò)濾：

　　把遠(yuǎn)程攻擊者拒之“LAN”外是網(wǎng)絡(luò)保安的一個(gè)重要方面。LAN 的完好性應(yīng)該通過(guò)使用嚴(yán)格的防火墻規(guī)則來(lái)抵御蓄意不良的遠(yuǎn)程用戶(hù)而被保護(hù)。但是，如果默認(rèn)策略被設(shè)置為阻塞所有進(jìn)入、輸出、和轉(zhuǎn)發(fā)的分組，防火墻/網(wǎng)關(guān)和內(nèi)部 LAN 用戶(hù)之間的通信就無(wú)法進(jìn)行。要允許用戶(hù)執(zhí)行和網(wǎng)絡(luò)相關(guān)的功能以及使用聯(lián)網(wǎng)應(yīng)用程序，管理員必須打開(kāi)某些端口進(jìn)行通信。

　　例如：要允許到防火墻上的端口80的通信，添加以下規(guī)則：

　　iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT  
 
　　iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT  
 

　　這會(huì)允許用戶(hù)瀏覽通過(guò)端口80通信的網(wǎng)站。要允許到安全網(wǎng)站的訪(fǎng)問(wèn)，你還必須打開(kāi)端口443。

　　iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT  
 
　　iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT  
 

　　有時(shí)候，你可能會(huì)需要從 LAN 之外遠(yuǎn)程地進(jìn)入 LAN。SSH 和 CIPE 之類(lèi)的安全服務(wù)可以用于到 LAN 服務(wù)的加密遠(yuǎn)程連接。對(duì)于擁有基于 PPP 資源(如調(diào)制解調(diào)器池或批量 ISP 帳號(hào))的管理員來(lái)說(shuō)，撥號(hào)進(jìn)入可以被用來(lái)安全地避開(kāi)防火墻，因?yàn)檎{(diào)制解調(diào)器連接是直接連接，通常位于防火墻/網(wǎng)關(guān)之后。 然而，對(duì)于有寬帶連接的遠(yuǎn)程用戶(hù)來(lái)說(shuō)，你就需要制定些特殊規(guī)定。你可以配置 IPTables 接受來(lái)自遠(yuǎn)程 SSH 和 CIPE 客戶(hù)的連接。例如，要允許遠(yuǎn)程 SSH 訪(fǎng)問(wèn)，你可以使用以下規(guī)則：

　　iptables -A INPUT -p tcp --dport 22 -j ACCEPT  
 
　　iptables -A OUTPUT -p udp --sport 22 -j ACCEPT  
 

　　來(lái)自外部的 CIPE 連接請(qǐng)求可以使用以下命令來(lái)接受(把 x 替換成你的設(shè)備號(hào)碼)：

　　iptables -A INPUT -p udp -i cipcbx -j ACCEPT  
 
　　iptables -A OUTPUT -p udp -o cipcbx -j ACCEPT  
 

　　CIPE 使用它自己的傳輸數(shù)據(jù)報(bào)(UDP)分組的虛擬設(shè)備，因此這條規(guī)則允許 cipcb 接口上的進(jìn)入連接，而不是規(guī)定源地端口或目標(biāo)端口(雖然它們可以被用來(lái)代替設(shè)備選項(xiàng))。

　　這些規(guī)則允許到防火墻上的常規(guī)及安全服務(wù)的訪(fǎng)問(wèn);然而，它們并不允許防火墻之后的機(jī)器使用這些服務(wù)。要允許 LAN 使用這些服務(wù)，你可以使用帶有 IPTables 過(guò)濾規(guī)則的 NAT。