linux 防火墙 源代码

指令如下：

IPADDR=“207.175.253.15”

#换成您缆线调制解调器的IP地址。

NETMASK=“255.255.255.0"

#换成您的网络屏蔽。

NETWORK=“207.175.253.0"

#换成您的网络地址。

BROADCAST=“207.175.253.255"

#换成你的广播地址.

GATEWAY="207.175.253.254"

#换成您的网关地址.

#用以上的宏来设定您的缆线调制解调器以太网卡

/sbin/ifconfig eth0 $ {IPADDR} broadcast ${BROADCAST}netmask ${NETMASK}

#设定IP路由表

/sbin/route add -net ${NETWORK} netmask $ {NETMASK}eth0

#设定intrang 以太网络卡eth1，不宏指令

/sbin/ifconfig eth1 192.168.1.254 broadcast 192.168.1.255.netmask 255.255.255.0

/sbin/route add -net 192.168.1.0 netmask 255.255.255.0eth1

#接着设定IP fw adm初始化

/sbin/ipfwadm -F-p deny

#拒绝以下位置之外的存取

#打开来自192.168.1.X的传送需求

/sbin/ipfwadm -F-a m -S 192.168.1.0./24-D 0.0.0.0/0

/sbin/ipfwadm -M -s 600 30 120

就是这样！您系统的“IP伪装”现在应该正常工作了。如果您想得到更详细的信 息，可以参考上面所提到的HOWTO，或是至 http://albali.aquanet.com.br/howtos/Bridge +Firewall-4.html参考MINI HOWTO。另外关于安全性更高的防火墙技术，则可在 ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTO中找到资料。

当然是基于netfilter去进行开发了，netfilter相当于给你提供一个框架，在内核报文处理流程中设置了一些HOOK，到时你只要在这些点重载自己写的处理函数就ok了。绝对不可能自己去重写整个流程的。

（1）查看本机关于IPTABLES的设置情况

代码如下：

［root@tp ~］# iptables -L -n

Chain INPUT （policy ACCEPT）

target prot opt source destination《/p》 《p》Chain FORWARD （policy ACCEPT）

target prot opt source destination《/p》 《p》Chain OUTPUT （policy ACCEPT）

target prot opt source destination《/p》 《p》Chain RH-Firewall-1-INPUT （0 references）

target prot opt source destination

ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255

ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0

ACCEPTah--0.0.0.0/00.0.0.0/0

ACCEPTudp--0.0.0.0/0224.0.0.251udpdpt:5353

ACCEPTudp--0.0.0.0/00.0.0.0/0udpdpt:631

ACCEPTall--0.0.0.0/00.0.0.0/0stateRELATED，ESTABLISHED

ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:22

ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:80

ACCEPTtcp--0.0.0.0/00.0.0.0/0stateNEWtcpdpt:25

REJECTall--0.0.0.0/00.0.0.0/0reject-withicmp-host-prohibited

可以看出我在安装linux时，选择了有防火墙，并且开放了22，80，25端口。

如果你在安装linux时没有选择启动防火墙，是这样的

代码如下：

［root@tp ~］# iptables -L -n

Chain INPUT （policy ACCEPT）

target prot opt source destination 《/p》 《p》Chain FORWARD （policy ACCEPT）

target prot opt source destination 《/p》 《p》Chain OUTPUT （policy ACCEPT）

target prot opt source destination

什么规则都没有。

（2）清除原有规则。

不管你在安装linux时是否启动了防火墙，如果你想配置属于自己的防火墙，那就清除现在filter的所有规则。

代码如下：

［root@tp ~］# iptables -F 清除预设表filter中的所有规则链的规则

［root@tp ~］# iptables -X 清除预设表filter中使用者自定链中的规则

我们在来看一下

代码如下：

［root@tp ~］# iptables -L -n

Chain INPUT （policy ACCEPT）

target prot opt source destination 《/p》 《p》Chain FORWARD （policy ACCEPT）

target prot opt source destination 《/p》 《p》Chain OUTPUT （policy ACCEPT）

target prot opt source destination

什么都没有了吧，和我们在安装linux时没有启动防火墙是一样的。（提前说一句，这些配置就像用命令配置IP一样，重起就会失去作用），怎么保存。

代码如下：

［root@tp ~］# /etc/rc.d/init.d/iptables save

这样就可以写到/etc/sysconfig/iptables文件里了。写入后记得把防火墙重起一下，才能起作用。

代码如下：

［root@tp ~］# service iptables restart

现在IPTABLES配置表里什么配置都没有了，那我们开始我们的配置吧

（3）设定预设规则

代码如下：

［root@tp ~］# iptables -P INPUT DROP

［root@tp ~］# iptables -P OUTPUT ACCEPT

［root@tp ~］# iptables -P FORWARD DROP

---