基于Linux系统的包过滤防火墙(2)

　　Echo（8）、Timestamp(13)、Address Mask Request(17)能用来分别判断主机是否启动、本地时间和地址掩码。它们是和返回的信息类别有关的。其本身是不能被利用的，但它们泄漏出的信息对攻击者是有用的，所以建议丢弃这些类型的ICMP。

　　关于ICMP类型的更详细的表述参见RFC792。

　　2.2 iptables语法

　　2.2.1 Iptables的优点

　　→ iptables允许建立状态（stateful）防火墙，就是在内存中保存穿过防火墙的每条连接。这种模式对于有效地配置FTP和DNS以及其它网络服务是必要的。

　　→iptables能够过滤TCP标志任意组合报文，还能够过滤MAC地址。

　　→系统日志比ipchains更容易配置，扩展性也更好。

　　→对于网络地址转换（Network Address Translation）和透明代理的支持，Netfilter更为强大和易于使用。

　　→iptables能够阻止某些DoS攻击，例如SYS洪泛攻击。

　　2.2.2 Iptables的规则要素

　　一条iptables规则基本上应该包含5个要素：

　　→指定表（table）

　　→指定操作命令（command）

　　→指定链（chains）

　　→指定规则匹配器（matcher）

　　→指定目标动作（target）

　　(1)表。Iptables从其使用的3个表而得名，分别是filter、nat、mangle。对于包过滤防火墙只使用filter表。表filter是默认的表，无需显示说明。

　　(2)操作命令。包括添加、删除、更新等。

　　(3)链。对于包过滤防火墙可操作filter表中的INPUT链、OUTPUT链和FORWARD链。也可以操作由用户自己定义的自定义链。

　　(4)规则匹配器。可以指定各种规则匹配，如IP地址、端口、包类型等。

　　目标动作。当规则匹配一个包时，真正要执行的任务用目标标识。最常用的内置目标分别是：