IPtables防火墙如何制作iptables防火墙。安装可以使用RPM安装或者在Debian中使用apt-getinstalliptables，编译安装也不难，下载最新的版本，然后./configure--prifix=/some/path/&&make&&makeinstall就可以了。本文重点在如何stepbystep简历一个自己的iptables防火墙。首先在使用iptables之前敲入一下两条命令>iptables-F#这句话的意思是清空所有的链>iptables-X#这句话的意思是清空所有自定义的链以上两条的含义你可以简单的认为是iptables的初始化命令，无需深入。下面我们将要开始建立一个iptables防火墙了。我们的做法是，默认所有的数据都丢弃，除非我认为满足条件的我才接受有针对的打开我们需要的端口，无疑是很安全的一种做法。下面两句话可以定义默认全部丢弃数据包：>iptables-PINPUTDROP>iptables-POUTPUTDROP-P参数的意思是policy，翻译成策略～那么这两句话就好理解了。第一句的意思是：输入(INPUT)的数据包默认的策略(-P)是丢弃(DROP)的第二句的意思是：输出(OUTPUT)的数据包默认的策略(-P)是丢弃(DROP)的其实到这里已经是一个有用的防火墙了，只不过，没有什么意义，和拔掉网线的概念没有什么不同。首先写下这6句话：iptables-AINPUT-picmp--icmp-typeany-jACCEPT允许icmp包进入iptables-AINPUT-slocalhost-dlocalhost-jACCEPT允许本地的数据包iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT允许已经建立和相关的数据包进入iptables-AOUTPUT-picmp--icmpany-jACCEPT允许icmp包出去iptables-AOUTPUT-slocalhost-dlocalhost-jACCEPT允许本地数据包iptables-AOUTPUT-mstate--stateESTABLISHED,RELATED-jACCEPT允许已经建立和相关的数据包出去说明一下，这6句基本上都是要的。如果我的电脑是一台web服务器的话，别人也没有办法访问，怎样才能让别人能访问我的web呢?很简单，打开80端口。>iptables-AINPUT-ptcp--dport80-jACCEPT但是这样的话，别人还是没有办法访问我，问什么呢?因为OUTPUT是关闭的，没有数据包能出去，那么就需要下面的一句话：>iptables-AOUTPUT-mstate--stateESTABLISHED,RELATED-jACCEPT这样别人就能访问你的web了。但是如果你想访问别人的web怎么办呢?打开出去的80端口吧!>iptables-AOUTPUT-ptcp-mstate--stateNEW--dport80-jACCEPT同样的这样的一句话还是不能起作用，我们需要打开别人进来的数据包>iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT可以了么?试试看～还是不可以???为什么呢???对了，你可能想到了DNS端口没有打开怎么访问域名服务器呢?下面我们打开DNS端口吧!>iptables-AOUTPUT-pudp--dport53-jACCEPTOK，这样就能访问别人的web站点了，不过如果你要访问https的站点，打开443端口吧，这里我就不写了，你可以自己试一下，提示一下，在OUTPUT中写。为了方便管理，我们可能还要经常ssh到这台服务器上去，那么打开22号端口吧!>iptables-AIPUT-ptcp-dport22-jACCEPT或者我们还可能需要用这台电脑ssh到别的电脑上去>iptables-AOUTPUT-ptcp--dport22-jACCEPT但是我只允许一个固定的ip能ssh到我的服务器上来怎么办呢?上句改成：>iptables-AINPUT-ptcp--dport22-s192.168.1.10-jACCEPT上句话的意思是，只允许192.168.1.1的用户通过ssh进到服务器。不过这样还是不安全，我们可以同时绑定访问者的mac，这样就安全多了!>iptables-AINPUT-ptcp--dport22-mmac--mac00:18:de:a5:83:c7-s192.168.1.10-jACCEPT最后脚本话一下：#!/bin/bash#DEFINEVARIABLESHTTP_PORT=80SECURE_HTTP_PORT=443ALLOWED_MA