#service iptables start

一般情况下，iptables已经包含在了Linux发行版中，可以运行iptables --version来查看系统是否安装了iptables。在我使用的Fedora Core 1中，安装的版本是iptables v1.2.8。如果你的系统确实没有安装iptables，那么可以从以下地址下载：

http://www.netfilter.org/

查看规则集

虽然上文对iptables的用法作一个简单介绍，但现实中我们可能需要知道更完整的信息，这时我们可以运行man iptables来查看所有命令和选项的完整介绍，也可以运行iptables help来查看一个快速帮助。要查看系统中现有的iptables规划集，可以运行以下命令：

iptables list

下面是没有定义规划时iptables的样子：

　　Chain INPUT (policy ACCEPT)
　　target   prot opt source               destination
　　
　　Chain FORWARD (policy ACCEPT)
　　target   prot opt source               destination         
　　
　　Chain OUTPUT (policy ACCEPT)
　　target   prot opt source               destination   
　　

　　# iptables -t filter -A INPUT -s 123.456.789.0/24 -j DROP

要了解有关iptables详细的参数和命令格式，请使用man iptables查看。可以说，现在我们对于网络上的恶意攻击者已经深恶痛绝，但不管怎么说，我们也不能因为憎恨它们就以同样的方法对其实行简单的报复，至少这种事情不能在你的网络里发生。因此，我们也可以很轻易地阻止所有流向攻击者IP地址的数据包，该命令也只是稍有不同：

　　# iptables -t filter -A OUTPUT -d 123.456.789.0/24 -j DROP
　　

注意这里的A选项，如前所述，使用它说明是给现有的链添加规则。

删除规则

网络上的恶意攻击者总是在变化着的，因此我们也要不断改变IP。假设我们了解的一个网上攻击者转移到了新的IP地址，而其老的IP地址被分配给了一些清白的用户，那么这时这些用户的数据包就无法通过你的网络了。这种情况下，我们可以使用带-D选项的命令来删除现有的规则：

　　# iptables -t filter -D OUTPUT -d 123.456.789.0/24 -j DROP
　　

　　# iptables -P INPUT DROP
　　# iptables -P FORWARD DROP
　　# iptables -P OUTPUT ACCEPT
　　

这里选项-P用于设置链的策略，只有三个内建的链才有策略。这些策略可以让信息毫无限制地流出，但不允许信息流入。但很多时候，我们还是需要接收外部信息的。这时可使用以下命令：

　　# iptables -t filter -A INPUT -s 123.456.789.0/24 -j ACCEPT
　

SYN的使用

我们不能关闭所有的端口，那将会把我们自己完全“与世隔绝”。我们也不能只指定某些端口处于打开状态，因为我们无法预见哪一个端口将会被使用。事实上，只简单地允许目的地为某一特定端口的数据流通过将对阻止恶意的攻击毫无意义。那么我们怎样才能设置一个有效的规则，即可以允许普通用户正常通过，又可以阻止恶意攻击者访问我们的网络呢？

对于刚开始使用iptables的人，我们可以充分利用syn标识来阻止那些未经授权的访问。因为iptables只检测数据包的报头，所以不会增加有效负荷。事实上，除iptables以外，很多其它有用的数据包分析都是基于报头的。

比如，在进行Web冲浪时，一个请求从你的PC发送至其它某一个地方的Web服务器之上，接着该服务器就会响应请求并且向你发回一个数据包，并且得到你的系统上的一个临时端口。与响应请求不同的是，服务器并不关心你所传送的内容。这们可以利用这种特点，来设置一个规则，让它阻止所有没有经过你的系统授权的TCP连接：

　　# iptables -t filter -A INPUT -i eth0 -p tcp --syn -j DROP