一般LINUX防火墻（iptalbes）的運(yùn)用無非是用nat 表（PREROUTING、OUTPUT、POSTROUTING）和filter表 (FORWARD、INPUT、OUTPUT)。我們只有知道了數(shù)據(jù)的流向才能正確的配置防火墻。現(xiàn)用一個(gè)相對比較直觀的圖形解釋數(shù)據(jù)的走向。（此處只作 最基本的iptables數(shù)據(jù)流走向說明。）

上圖是你的家，藍(lán)色的圈是你家院子，有兩扇大門①⑥進(jìn)出，你家有兩個(gè)房間，分別為eth0和 eth1房間，每個(gè)房間有兩 個(gè)門可以進(jìn)出②③④⑤。旁邊是張三和李四的家，張三家和李四家之間的往返必須要過你家院子。

現(xiàn)假設(shè)，eth0網(wǎng)卡IP為：192.168.5.1鏈接內(nèi)網(wǎng)，eth1網(wǎng)卡IP為：218.100.100.111鏈接互連網(wǎng)。

再假設(shè)，“張三家”為一個(gè)局域網(wǎng)，“李四家”為互連網(wǎng)。進(jìn)我家院子用PREROUTING，出我家院子用FORWARD，進(jìn)我家門 用INPUT，出我家門用OUTPUT。（當(dāng)我們的操作是征對服務(wù)器本身而言的話，如SSH操作，此時(shí)肯定會用到PREROUTING、INPUT和OUTPUT，當(dāng)數(shù)據(jù) 只是通過服務(wù)器去訪問別的機(jī)器時(shí)會用到PREROUTING和FORWARD。）

又假設(shè)，默認(rèn)這六個(gè)門都是關(guān)的。生成如下代碼。

###########################################################################

*nat

################################

:PREROUTING DROP [0:0]

:OUTPUT DROP [0:0]

:POSTROUTING DROP [0:0]

################################

-F

-Z

-X

### 以后要新增語句請?jiān)诖颂幵黾印?/p>

-L –v

COMMIT

################################################

*filter

##############################

:INPUT DROP[0:0]

:FORWARD DROP[0:0]

:OUTPUT DROP[0:0]

##############################

-F

-Z

-X

### 以后要新增語句請?jiān)诖颂幵黾印?/p>

-L –v

COMMIT

##########################################################################

1、 局域網(wǎng)用戶通過服務(wù)器共享上網(wǎng) (即從張三家到李四家)
1)首先進(jìn)①號門，再從⑥號門走出。
-A PREROUTING –p tcp --dport 80 –j ACCEPT #允許TCP 80端口通過服務(wù)器
-A FORWARD –p tcp --dport 80 –j ACCEPT #允許TCP80 端口轉(zhuǎn)發(fā)
-A FORWARD –p tcp --sport 80 –j ACCEPT #允許接收對方為TCP80端口反回的信息
2)其次，由于我們上網(wǎng)打的是域名，為此有一個(gè)公網(wǎng)DNS服務(wù)器為我們服務(wù)，那當(dāng)然也要允許內(nèi)網(wǎng)機(jī)器與DNS服務(wù)器的數(shù)據(jù)轉(zhuǎn)發(fā)。DNS用UDP 53 或者 TCP 53端口。兩者用其一個(gè)就行。
-A PREROUTING –p udp --dport 53 –j ACCEPT
-A FORWARD –p udp --dport 53 –j ACCEPT
-A FORWARD –p udp --sport 53 –j ACCEPT
3）再次，由于局域網(wǎng)的私有地址在公網(wǎng)上是不被允許的，所以在出公網(wǎng)前應(yīng)該把其地址轉(zhuǎn)為服務(wù)器地址進(jìn)行偽裝。
-A POSTROUTING –s 192.168.5.0/24 –j SNAT --to 218.100.100.111

2、允許局域網(wǎng)和公網(wǎng)可以訪問服務(wù)器的SSH
假設(shè)SSH采用默認(rèn)端口TCP 22 。此要求相當(dāng)于要進(jìn)我的家的TCP 22號門，為此我們首先要進(jìn)我家院子，然后再進(jìn)我家門，最后走出我家門這 樣的過程。此操作是征對服務(wù)器本身的操作。
-A PREROUTING –p tcp --dport 22 –j ACCEPT
-A INPUT –p tcp --dport 22 –j ACCEPT
-A OUTPUT –p tcp --sport 22 –j ACCEPT

3、 允許內(nèi)網(wǎng)機(jī)器可以登錄MSN和QQ。
（MSN和QQ默認(rèn)是不允許登錄的）QQ一般來說可以從TCP 80、8000、443及UDP 8000、4000登錄，而MSN可以從TCP 1863、443登錄。我們登錄 MSN和QQ的過程就象上網(wǎng)一樣，也是去訪問遠(yuǎn)程服務(wù)器的指定端口，故而我們只用數(shù)據(jù)轉(zhuǎn)發(fā)即可。
-A PREROUTING –p tcp --dport 1863 –j ACCEPT
-A PREROUTING –p tcp --dport 443 –j ACCEPT
-A PREROUTING –p tcp --dport 8000 –j ACCEPT
-A PREROUTING –p udp --dport 8000 –j ACCEPT
-A PREROUTING –p udp --dport 4000 –j ACCEPT
-A FORWARD –p tcp --dport 1863 –j ACCEPT
-A FORWARD –p tcp --sport 1863 –j ACCEPT
-A FORWARD –p tcp --dport 443 –j ACCEPT
-A FORWARD –p tcp --sport 443 –j ACCEPT
-A FORWARD –p tcp --dport 8000 –j ACCEPT
-A FORWARD –p tcp --sport 8000 –j ACCEPT
-A FORWARD –p udp --dport 8000 –j ACCEPT
-A FORWARD –p udp --sport 8000 –j ACCEPT
-A FORWARD –p udp --dport 4000 –j ACCEPT
-A FORWARD –p udp --sport 4000 –j ACCEPT