在设定 iptables 的封包过滤规则时，有几个样板的动作，若先熟悉它们，往后就可自行套用，依此类推，很快地，您就可以进入这个天地之中 。
观察目前的设定
作法如下∶
iptables -L -n
iptablse -t nat -L -n
定义变数
FW_IP="163.26.197.8"
打开核心 forward 功能
作法如下∶
###-----------------------------------------------------###
# 打开 forward 功能
###-----------------------------------------------------###
echo "1" > /proc/sys/net/ipv4/ip_forward
清除所有的规则
一开始要先清除所有的规则，重新开始，以免旧有的规则影响新的设定 。作法如下∶
###-----------------------------------------------------###
# 清除先前的设定
###-----------------------------------------------------###
# 清除预设表 filter 中，所有规则链中的规则
iptables -F
# 清除预设表 filter 中，使用者自订链中的规则
iptables -X
# 清除mangle表中，所有规则链中的规则
iptables -F -t mangle
# 清除mangle表中，使用者自订链中的规则
iptables -t mangle -X
# 清除nat表中，所有规则链中的规则
iptables -F -t nat
# 清除nat表中，使用者自订链中的规则
iptables -t nat -X
选定预设的政策
接着，要选定各个不同的规则链，预设的政策为何 。作法如下∶
预设全部丢弃∶
###-----------------------------------------------------###
# 设定 filter table 的预设政策
###-----------------------------------------------------###
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
或者预设全部接受∶
###-----------------------------------------------------###
# 设定 filter table 的预设政策
###-----------------------------------------------------###
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
各个规则链的预设政策可独立自主的设定，不必受其它链的影响 。
以下练习，若目标为 DROP，则 policy 请设为 ACCEPT；若目标为 ACCEPT，则 policy 请设为 DROP，如此方可看出效果 。
开放某一个介面
作法如下∶
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
注∶IPFW 或 Netfilter 的封包流向，local process 不会经过 FORWARD Chain，
因此 lo 只在 INPUT 及 OUTPUT 二个 chain 作用 。
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -j ACCEPT
IP 伪装
使内部网路的封包经过伪装之后，使用对外的 eth0 网卡当作代表号，对外连线 。作法如下∶
###-----------------------------------------------------###
# 启动内部对外转址
###-----------------------------------------------------###
iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source $FW_IP
上述指令意指∶把 172.16.0.0/16 这个网段，伪装成 $FW_IP 出去 。
虚拟主机
利用转址、转 port 的方式，使外部网路的封包，可以到达内部网路中的伺服主机，俗称虚拟主机 。这种方式可保护伺服主机大部份的 port 不被外界存取，只开放公开服务的通道(如 Web Server port 80)，因此安全性甚高 。
作法如下∶
###-----------------------------------------------------###
# 启动外部对内部转址
###-----------------------------------------------------###
# 凡对 $FW_IP:80 连线者, 则转址至 172.16.255.2:80
iptables -t nat -A PREROUTING -i eth0 -p tcp -d $FW_IP --dport 80 -j DNAT --to-destination 172.16.255.2:80

推荐阅读

• 

  你最喜欢哪些潮汕美食
• 

  在IE7中使用其他编辑器查看网页源文件
• 

  网贷还不起如何办
• 

  木质家具发霉处理小妙招 如何防止实木家具发霉
• 

  【推荐】小学生演讲稿范文4篇
• 

  怎么做馄饨紫菜汤
• 

  怎么使用腾讯文档编写文档
• 

  一斤可可豆可以做多少巧克力
• 

  在钉钉里恢复隐藏聊隐图标详细操作
• 

  南京学校提供的课后服务会有哪些内容？
• 

  广州高铁南站有什么公交车，从广州高铁南站坐什么公交车去黄岐
• 

  OPPOK9X散热性能怎么样。
• 

  生活在别处下一句
• 

  邓紫棋和林宥嘉相恋9年 邓紫棋林宥嘉的故事
• 

  艾草熏房间有什么作用 房间内熏艾草有什么作用
• 

  仙域里暴雨梨花针怎么使用,荔波这个地方竟然有绝美的雪景

• 梦见自己生病了 梦见自己生病了寓意到底是啥
• 响尾蛇是从何处发出声音的
• 剑灵长做从考证开始的石碑在哪
• 要是皮草遭遇到了雨水等怎么处理
• 夏天几月份开始热
• 如何练节奏感
• 胡萝卜属于碳水还是蔬菜 胡萝卜到底属于碳水还是蔬菜
• 光遇雨林毕业可以得到什么
• 如何描写父爱
• 买了否冷笑点在哪 买了否冷的笑点到底在哪里