iptalbes 设置经典（一）

( 转注 : 这篇文章全面而深入的介绍了 linux 下 iptables 的使用 ! 强烈推荐 )
对于 Internet 上的系统，不管是什么情况都要明确一点：网络是不安全的。因此，虽然创建一个防火墙并不能保证系统 100 ％安全，但却是绝对必要的。 Linux 提供了一个非常优秀的防火墙工具 ?netfilter/iptables 。它完全免费、功能强大、使用灵活、可以对流入和流出的信息进行细化控制，且可以在一台低配置机器上很好地运行。本文将简单介绍使用 netfilter/iptables 实现防火墙架设和 Internet 连接共享等应用。

netfilter/iptabels 应用程序，被认为是 Linux 中实现包过滤功能的第四代应用程序。 netfilter/iptables 包含在 2.4 以后的内核中，它可以实现防火墙、 NAT （网络地址翻译）和数据包的分割等功能。 netfilter 工作在内核内部，而 iptables 则是让用户定义规则集的表结构。 netfilter/iptables 从 ipchains 和 ipwadfm （ IP 防火墙管理）演化而来，功能更加强大。下文将 netfilter/iptabels 统一称为 iptables 。

可以用 iptables 为 Unix 、 Linux 和 BSD 个人工作站创建一个防火墙，也可以为一个子网创建防火墙以保护其它的系统平台。 iptales 只读取数据包头，不会给信息流增加负担，也无需进行验证。要想获得更好的安全性，可以将其和一个代理服务器（比如 squid ）相结合。

基本概念

典型的防火墙设置有两个网卡：一个流入，一个流出。 iptables 读取流入和流出数据包的报头，将它们与规则集（ Ruleset ）相比较，将可接受的数据包从一个网卡转发至另一个网卡，对被拒绝的数据包，可以丢弃或按照所定义的方式来处理。

通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令，规则控制信息包的过滤。通过使用 iptables 系统提供的特殊命令 iptables 建立这些规则，并将其添加到内核空间特定信息包过滤表内的链中。关于添加、去除、编辑规则的命令，一般语法如下：

iptables [-t table] command [match] [target]

1 ．表（ table ）

[-t table] 选项允许使用标准表之外的任何表。表是包含仅处理特定类型信息包的规则和链的信息包过滤表。有三个可用的表选项： filter 、 nat 和 mangle 。该选项不是必需的，如果未指定，则 filter 作为缺省表。各表实现的功能如表 1 所示。
表 1 三种表实现的功能
[url]http://tech.ccidnet.com/pub/attachment/2004/3/278843.jpg[/url]
2 ．命令（ command ）

command部分是iptables命令最重要的部分。它告诉iptables命令要做什么，例如插入规则、将