Iptables 指南 1.1.19(中文版)(四)

首先，我们解决的是局域网要能连接到Internet的问题。那我们就要对任何数据包做NAT操作，因为局域网内的机子都没有真实的IP地址。NAT是在PREROUTING链中完成的，这也是脚本最后创建的那个规则所在的链。这意味着我们必须要在FORWARD链中做过滤工作，否则我们就是允许任何外部的机子都能完全访问局域网了。因为我们完全信任局域网，所以允许任何由内向外的数据通过。由于我们假设Internet上的机子都不能够访问局域网内的机子，所以要阻塞任何由外向内的连接，但已建立的或相关的连接除外，因为他们只是用来回应内网对外网的访问，而不是建立对内网的新连接。

由于资金有限，我们的防火墙只提供了有限的几个服务：HTTP、 FTP、SSH和IDENTD。因此，我们要在INPUT链里允许这些协议通过，还要在 OUTPUT链里允许返回的数据通过。我们除了完全信任局域网，也信任loopback和他的IP地址，因此我们要有相应的规则来允许任何来自局域网和loopback的数据通过。但是我们不会允许一些特别的包或包头通过，也不会接受Internet上某一段IP的访问。比如，网段 10.0.0.0/8是为局域网而保留的，一般来说，我们不允许来自他们的包进入，因为这样的包90%都是用来进行欺骗的。但是，在实现这条标准之前，还要注意一个问题，就是有一些ISP在他们的网络里使用的恰恰就是这些地址。 在附录常见问题和解答里有这个问题的进一步说明。

因为我们在防火墙上运行FTP服务，而且想让包经历最少的规则，所以要把处理established和related状态的规则放到INPUT链的顶部。基于同样的原因，我们把这些规则分到子链中。这样，包就能够尽量少地穿越规则，从而节省时间，也能够降低网络的冗余。

在这个脚本里，我们依据不同的协议（如TCP、 UDP或ICMP）把包分到子链中。用来匹配 TCP包的链叫做tcp_packets，他能够匹配任何我们允许通过的TCP端口和子协议（如FTP、HTTP等）。我们还要建立一个名为allowed的子链，以便在真正接受“那些使用有效端口来访问防火墙的TCP包”之前，对他们进行附加的检查。至于ICMP包，自有称作 icmp_packets的链来处理。在决定如何建立这个链时，我考虑到假如我们同意接受ICMP包的类型和代码，就没有必要对他们做附加的检查，所以直接接受他们就行了。最后，UDP包由谁处理呢？当然就是 udp_packets了。假如包是那种允许被接收的类型，就直接放行了。

因为我们的网络很小，所以防火墙也要作为工作站来用。这就需要我们要允许一些特别的协议能和他通信，比如speak freely和ICQ。

现在，我们来考虑考虑OUTPUT链。因为很信任防火墙，所以我们允许几乎任何离开他的包通过，而没有阻塞任何用户和协议。但我们也不想让人利用这台机子进行IP欺骗，因此我们只放行那些从防火墙本身的IP发出的包。为了实现这一点，我们很可能在ACCEPT链中加入这样一条规则：假如包是由防火墙的IP发出的，就放行，否则，他们就会被OUTPUT链的缺省策略DROP掉。