iptables防火墙配置工具ShoreWall进阶实用介绍

　　以上的设定是指转送所有fw防火墙接口的ssh及http的请求至loc的界面，而IP为192.168.1.3的机器上。

　　在这个档案中有几个较常用到的字段，分别说明如下，其它较少用的字段在此笔者就不多加说明了：

　　◆字段名称设定项目说明

　　ACTIONACCEPT允许这个联机的要求。

　　ACCEPT+和ACCETP一样，但是会排除之后有关REDIRECT-及DNAT-的规则。

　　DROP：忽略这个联机的请求。

　　REJECT：不接受这联机的请求，并回复一个icmp-unreachable或是RST的封包给对方。

　　DNAT：转送这个封包至另一个系统(或是其它的port号)。

　　DNAT-：只有进阶的使用才会用到，这和DNAT的规则一样，但是只产生DNAT的iptables的规则而且也不是ACCEPT成对的规则。

　　REDIRECT：重导这个联机的请求到local的另一个埠号中。

　　REDIRECT-：只有进阶的使用才会用到，这和REDIRECT的规则一样，但是只产生REDIRECT的iptables的规则而且也不是ACCEPT成对的规则。

　　CONTINUE：专家模式专用，对于这里所定义的来源及目的端的请求就会被pass通过。

　　LOG：简单的记录封包信息

　　QUEUE：将这个封包伫放在使用者的应用程序中。

　　<action>;定义在/etc/shorewall/actions或是/usr/share/shorewall/actions.std中的动作。

　　SOURCE：来源地址，格式可设定以下几种样式：loc、net(在zones档案中所定义的接口)192.168.1.1(IP格式)192.168.1.0/24(子网络格式)loc:192.168.1.1loc:192.168.1.0/24loc:192.168.1.1,192.168.1.2loc:~00-A0-C9-15-39-78(MACAddress)

　　DEST：目的地址，设定的方式和SOURCE一样，但是如果SOURCE设定为all时，则有以下的限制：并不允许使用MACAddress在DNAT的规则中只允许使用IPAddress不可同时使用interface及IP