可以添加可信任服務(wù)，比如添加FTP和 SSH。添加的可信任服務(wù)其實(shí)是允許數(shù)據(jù)包從該服務(wù)對(duì)應(yīng)的端口進(jìn)出。另外也可以直接添加可信任的端口，比如添加了3128(squid服務(wù))。

　　端窗口執(zhí)行iptables -L命令，如圖3所示，可以看出剛才添加的過濾規(guī)則已經(jīng)生效。

圖3 執(zhí)行iptables -L命令

　　下面是一個(gè)iptables的腳本實(shí)例，讀者要根據(jù)自己的環(huán)境需求進(jìn)行相應(yīng)的調(diào)整。

　　#!/bin/bash

　　INET_IF="ppp0" #外網(wǎng)接口

　　LAN_IF="eth0" #內(nèi)網(wǎng)接口

　　LAN_IP_RANGE="192.168.1.0/24" #內(nèi)網(wǎng)IP地址范圍，用于NAT

　　IPT="/sbin/iptables" #定義變量

　　MODPROBE="/sbin/modprobe"

　　$MODPROBE ip_tables #下面9行加載相關(guān)模塊

　　$MODPROBE iptable_nat

　　$MODPROBE ip_nat_ftp

　　$MODPROBE ip_nat_irc

　　$MODPROBE ipt_mark

　　$MODPROBE ip_conntrack

　　$MODPROBE ip_conntrack_ftp

　　$NODPROBK ip_conntrack_irc

　　$NODPROBK ipt_MASOUZRADE

　　for TABLE in filter nat mangle;do #清除所有防火墻規(guī)則

　　$IPT -t $TABLE -F

　　$IPT -t $TABLR -X

　　done

　　$IPT -P INPUT DROP #下面6行設(shè)置filter和nat表的默認(rèn)策略

　　$IPT -P OUTPUT ACCEPT

　　$IPT -P FOKNARD DROP

　　$IPT -t nat -P PREROUTINC ACCEPT

　　$IPT -t nat -P POSTROUTING ACCEPT

　　$1PT -t nat -P OUTPUT ACCEPT

　　#允許內(nèi)網(wǎng)samba、smtp和pop3連接

　　$IPT -A INPUT -m state --state ESTABLISHED,RKLATED -j ACCEPT

　　$IPT -A INPUT -p top -m multiport --dports 1863,443,110,80,25 -j ACCEPT

　　$IPT -A INPUT -p top -s $LAN_IP_RANGR --dport 139 -j ACCEPT

　　#允許DNs連接

　　$IPT -A INPUT -i $LAN_IF -p udp -m multiport --dports 53 -j ACCEPT

　　#為了防止DOS攻擊，可以最多允許15個(gè)初始連接，超過的將被丟棄

　　$IPT -A INPUT -s $LAN_IP_RANGE -p top -m state --state ESTABLISHED,RELATED -j ACCEPT

　　$IPT -A INPUT -i $ INET_IF -p top --syn -m connlimit --connlimit -above 15 -j DROP

　　$IPT -A INPUT -s $LAN_IPRANGE -P top --syn -m connlimit --connlimit -above 15 -j DROP

　　#設(shè)置ICMP閾值，記錄攻擊行為

　　$IPT -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INPO --log -prefix

　　"ICMP packet IN:"

　　$IPT -A INPUT -p icmp -m limit --limit 6/m -j ACCEPT

　　$IPT -A INPUT -p icmp -i DROP

　　#開放的端口

　　$IPT -A INPUT -p TCP -i $INE IF --dport 21 -j ACCEPT #FTP

　　$IPT -A INPUT -p TCP -i $INE IF --dport 22 -j ACCEPT #SSH

　　$IPT -A INPUT -p TCP -i $INE IF --dport 25 -j ACCEPT #SMTP

　　$IPT -A INPUT -p TCP -i $INE IF --dport 53 -j ACCEPT #DNS

　　$IPT -A INPUT -p TCP -i $INE IF --dport 53 -j ACCEPT #DNS

　　$IPT -A INPUT -p TCP -i $INE IF --dport 80 -j ACCEPT #WWW

　　$IPT -A INPUT -p TCP -i $INE IF --dport 110 -j ACCEPT #POP3

　　#禁止BT連接

　　$IPT -I PORNARD -M state --state ESTABLISHKD,RELATZD -J ACCEPT

　　$IPT -A PORNARD -m ipp2p --edk --kazaa --bIT -j DROP

　　$IPT -A PORNARD -p tcp -m ipp2p --ares -j DROP

　　$IPT -A PORNARD -p udp -m ipp2p --kazaa j DROP

　　#只允許每組ip同時(shí)15個(gè)80端口轉(zhuǎn)發(fā)

　　$IPT -A PORWARD -p top --syn --dport 80 -m connlimit --connlimit -above 15

　　--connlimit -mask 24 -j DROP

　　#NAC、IP地址綁定

　　$IPT -A PORNARD -s 192.168.O.1 -m mac --mac -source 00:E2:A1:56:C2 -p tcp --dport 80 -i ACCEPT

　　$IPT -A PORNARD -s 192.168.O.10 -m mac --mac -source 00:22:DA:32:C1 -p tcp --dport 80 -i ACCEPT

　　$IPT -A PORNARD -s 192.168.O.62 -m mac --mac -source 00:0C