使用IP鏈建立Linux防火牆

　　雖然Linux作業系統具有很多優點，其安全性也較高，但是你不應當由此產生一種虛假的安全感，因為你的Linux系統的安全性仍舊可能受到損害。現在就讓我們來看看如何通過使用IP鏈（IPchains）來建立Linux系統的防火牆，保護你的系統不受侵害。

　　先假設你已經具備了一些關於網際網路的基本知識。應當說，熟悉像IP地址、TCP連接埠和網路傳輸資料之類的詞彙是很有用處的。對防火牆有一個大概的瞭解也是十分有必要的。

　　■命令：

　　我們需要確立起一系列的規則，這樣IP鏈才能進入來來往往的網路路徑。每一條規則都被置於三鏈之一，這三個鏈分別為：存放輸入資料的輸入鏈、存放輸出資料的輸出鏈和傳輸鏈。

　　每增加一條規則，都要從IP鏈開始，並且要增加下面的某些或全部步驟。附加(Append)、刪除(Delete)、插入(Insert)和替換(Replace)，這些命令通常是跟在起始的IP鏈命令之後，並且指示程式應當把規則命令添加在哪條鏈上以及如何添加。添加時，以-A、-D、- I，或者-R開始，這些字母的後面再加上鏈的名稱（輸入鏈或輸出鏈）。

　　當你要使用插入命令時，必須在要加入該命令的位置上，在鏈的名稱後面，具體指定行號。

　　在使用替換命令時，需要指定被替換的行號，使用刪除命令的時候，也必須指定刪除的行號。 　

　　在使用刪除選項時，無須在行號後面再輸入什麼別的內容。你只要鍵入ipchains -L，就可以發現命令所作用的行號。

　　■協議(Protocol)：

　　在這裡你要針對每一條規則命令具體地指明某種協議。在大多數情形下，使用TCP/IP協議。

　　也有可能你不想讓你的電腦對另一台電腦發出的Ping訊號做出反應。為了做到這一點，需要具體指定ICMP（互連網控制報文協議）。在具體地指定某個協議的時候，要使用-p命令，如：-p icmp。

　　■源(Source)：

　　源可以確定從某個特定的IP地址而來的路徑以及使用-s命令的連接埠。如果你知道一個標準的IP地址，就可以直接使用IP地址，或者乾脆指定一個網域名稱（比如www.ccidnet.com）。假如你想指定任意一個地址，不妨用0.0.0.0/0。

　　我們可以在IP地址的後面用數字來指定某一個連接埠（比如110），也可以用伺服器的名稱（pop3）來指定某一個連接埠。使用冒號可以將兩個連接埠數字分隔開，這樣就能指定一連串的連接埠。例如：

　　-s mail.mailserver.com pop3

　　-s 127.0.0.1 139:164

　　■目的(Destination)：

　　用法與源地址是一樣的，只要指定目的地址和連接埠即可。