常用 iptables 過濾：

　　把遠(yuǎn)程攻擊者拒之“LAN”外是網(wǎng)絡(luò)保安的一個(gè)重要方面。LAN 的完好性應(yīng)該通過使用嚴(yán)格的防火墻規(guī)則來抵御蓄意不良的遠(yuǎn)程用戶而被保護(hù)。但是，如果默認(rèn)策略被設(shè)置為阻塞所有進(jìn)入、輸出、和轉(zhuǎn)發(fā)的分組，防火墻/網(wǎng)關(guān)和內(nèi)部 LAN 用戶之間的通信就無法進(jìn)行。要允許用戶執(zhí)行和網(wǎng)絡(luò)相關(guān)的功能以及使用聯(lián)網(wǎng)應(yīng)用程序，管理員必須打開某些端口進(jìn)行通信。

　　例如：要允許到防火墻上的端口80的通信，添加以下規(guī)則：

　　iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT  
 
　　iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT  
 

　　這會(huì)允許用戶瀏覽通過端口80通信的網(wǎng)站。要允許到安全網(wǎng)站的訪問，你還必須打開端口443。

　　iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT  
 
　　iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT  
 

　　有時(shí)候，你可能會(huì)需要從 LAN 之外遠(yuǎn)程地進(jìn)入 LAN。SSH 和 CIPE 之類的安全服務(wù)可以用于到 LAN 服務(wù)的加密遠(yuǎn)程連接。對(duì)于擁有基于 PPP 資源(如調(diào)制解調(diào)器池或批量 ISP 帳號(hào))的管理員來說，撥號(hào)進(jìn)入可以被用來安全地避開防火墻，因?yàn)檎{(diào)制解調(diào)器連接是直接連接，通常位于防火墻/網(wǎng)關(guān)之后。 然而，對(duì)于有寬帶連接的遠(yuǎn)程用戶來說，你就需要制定些特殊規(guī)定。你可以配置 IPTables 接受來自遠(yuǎn)程 SSH 和 CIPE 客戶的連接。例如，要允許遠(yuǎn)程 SSH 訪問，你可以使用以下規(guī)則：

　　iptables -A INPUT -p tcp --dport 22 -j ACCEPT  
 
　　iptables -A OUTPUT -p udp --sport 22 -j ACCEPT  
 

　　來自外部的 CIPE 連接請(qǐng)求可以使用以下命令來接受(把 x 替換成你的設(shè)備號(hào)碼)：

　　iptables -A INPUT -p udp -i cipcbx -j ACCEPT  
 
　　iptables -A OUTPUT -p udp -o cipcbx -j ACCEPT  
 

　　CIPE 使用它自己的傳輸數(shù)據(jù)報(bào)(UDP)分組的虛擬設(shè)備，因此這條規(guī)則允許 cipcb 接口上的進(jìn)入連接，而不是規(guī)定源地端口或目標(biāo)端口(雖然它們可以被用來代替設(shè)備選項(xiàng))。

　　這些規(guī)則允許到防火墻上的常規(guī)及安全服務(wù)的訪問;然而，它們并不允許防火墻之后的機(jī)器使用這些服務(wù)。要允許 LAN 使用這些服務(wù)，你可以使用帶有 IPTables 過濾規(guī)則的 NAT。

【編輯推薦】

iptables的啟動(dòng)和關(guān)閉

Iptables 詳細(xì)介紹

使用netfilter/iptables構(gòu)建防火墻