基于Linux系统的包过滤防火墙(2)

　　→ACCEPT表示允许包通过

　　→DROP表示被丢弃

　　此外，包过滤防火墙还可以使用扩展的目标：

　　→REJECT表示拒绝包，丢弃包的同时给发送者发送没有接受的通知。

　　→LOG表示包的有关信息被记录日志。

　　→TOS表示改写包的ToS的值。

　　要使用上述的扩展目标，必须在内核中激活相应选项或者装载了相应的内核模块。

　　2.2.3 Iptables工具的调用语法

　　Iptables的语法非常复杂，要查看该工具的完整语法，应该查看其手册页。

　　Iptables的语法通常可以简化为下面的形式：

　　Iptables[-t table]CMD[chain][rule-matcher][-j target]

　　其中:tables为表名，CMD为操作命令，chain为链名，rule-matcher为规则匹配器，target为目标动作。

　　2.2.4 制定永久性规则

　　iptables软件包提供了两个命令分别用于保存和恢复规则集。可以使用下在的命令转储在内存中的内核规则集。其中/etc/sysconfig/iptables是iptables守护进程调用的默认规则集文件：

　　#/sbin/iptables-save >; /etc/sysconfig/iptables

　　要恢复原来的规则库，需使用命令：

　　#/sbin/iptables-restore < /etc/sysconfig/iptables

　　为了使得用iptables命令配置的规则在下次启动机器时还能被使用，有两种主法。

　　(1)使用iptables的启动脚本实现。Iptables的启动脚本/etc/rc.d/init.d/iptables每次启动时都使用/etc/sysconfig/iptables所提供的规则进行规则恢复，并可以使用如下的命令保存规则：

　　#service iptables save

　　(2) 在自定义脚本中用iptables命令直接创建规则集。可以直接用iptables命令编写一个规则脚本，并在启动时执行这个脚本。