介绍一个Rusty Russell关于iptables快速应用案例

Rusty Russell
Rusty Russell at linux.conf.au in January 2011
Born	Paul Russell January 18, 1973 (age 40) London, UK
Nationality	Australian
Occupation	Computer programmer
Employer	IBM[1]
Known for	Linux kernel development,Free Software advocacy
Website
http://rusty.ozlabs.org/

转自：http://en.wikipedia.org/wiki/Rusty_Russell

1、案例场景：一台Linux主机通过一条PPP访问Internet，并阻止外部用户访问该主机。

2、配置步骤：

   （1）添加内核功能模块：（如果内核已包含一下模块可略过）

   #insmod ip_conntrack

   #insmod ip_conntrack_ftp

   （2）创建自定义链block并添加规则：

   #iptables -N block

   #iptables -A block -m --state ESTABLISHED,RELATED -j ACCEPT

   #iptables -A block -m --state NEW -i ! ppp0 -j ACCEPT

   #iptables -A -j DROP

   （3）将流经INPUT和FORWARD链的数据包跳转到block链处理数据包：

   #iptables -A INPUT -j block

   #iptables -A FORWARD -j block

*****翻译该案例的用意*****

   该案例简单，实用性先放一边，主要是体会在该案例中自定义链的使用，及其灵活性和可扩展性，包括自定义链过度使用造成包过滤效率下降的问题。