Iptables用三种链来管理放出、进入或经过你计算机的（数据）包。INPUT链管理进入你计算机的包，OUTPUT链管理你计算机放出的包，FORWARD链管理经过你的计算机转送到另一台计算机的包。所以，设置iptables的过程事实上就是定义一些规则来决定如何处理这三种包的过程。例如，如果你访问http://www.yahoo.com，你的计算机将放出一个包向Yahoo!请求。这个包就要经过OUTPUT链的审核。内核会浏览OUTPUT链，看看是否有某条规则不允许放出这个包，如果有的话，就拒绝放出。现在让我们来处理一些实际问题。比如你想阻塞所有来自200.200.200.1的包。首先你需要用-s选项来指明源IP地址或DNS：CODE:HYPERLINK"http://bbs.chinaunix.net/viewthread.php?tid=477137&highlight=ip"\l"#####"[Copytoclipboard]iptables-s200.200.200.1然后可以用-j选项来说明如何处理这个包。最常用的处理方式有三种：ACCEPT、DENY和DROP。ACCEPT顾名思义表示接受包，DENY不接受同时回送一条拒绝信息，而DROP则根本对包不予理睬。如果确信某个IP可疑，那么最好选择DROP而不是DENY：CODE:HYPERLINK"http://bbs.chinaunix.net/viewthread.php?tid=477137&highlight=ip"\l"#####"[Copytoclipboard]iptables-s200.200.200.1-jDROP但是仅仅使用上面这条命令，我们的计算机会无所适从，因为它不知道该用哪条链来处理这项规则。这就要用到-A选项，它表示把某条规则追加到某个链的末尾。我们打算拒绝所有来自200.200.200.1的包，所以使用：CODE:HYPERLINK"http://bbs.chinaunix.net/viewthread.php?tid=477137&highlight=ip"\l"#####"[Copytoclipboard]iptables-AINPUT-s200.200.200.1-jDROP选项的顺序不会影响最终的处理结果，-jDROP也可以放在-s200.200.200.1的前面，只不过放在后面似乎更容易理解。现在扩展一下，假设我们不想发送任何包给200.200.200.1该如何做呢？很简单，只要把INPUT换成OUTPUT，同时用-d替换-s就可以了：CODE:HYPERLINK"http://bbs.chinaunix.net/viewthread.php?tid=477137&highlight=ip"\l"#####"[Copytoclipboard]iptables-AOUTPUT-d200.200.200.1-jDROP那么，如果我们打算忽略来自这台机器的telnet请求该怎么办呢？你可能知道telnet使用的是23端口，但是如果你愿意，你也可以在iptables中使用telnet关键字而不是端口号。Telnet，像大多数服务一样，运行于TCP协议之上。我们可以使用-p选项来指明所用的协议。但是只指明协议不会有任何作用，还需要使用—destination-port来指出我们要为哪个目标端口指定规则。与之相对应，--source-prot用来指明源端口，确信别把二者弄混了。所以我们可以这样拒绝某台机器的telnet请求：CODE:HYPERLINK"http://bbs.chinaunix.net/viewthread.php?tid=477137&highlight=ip"\l"#####"[Copytoclipboard]iptables-AINPUT-s200.200.200.1-ptcp--destination-porttelnet-jDROP扩展一下，如果你想拒绝一个网段的telnet请求，可以使用200.200.200.0/24来代替上面的200.200.200.1，它匹配任何200.200.200.*这样的IP地址。再复杂一些。假设我们同时可以连接到本地局域网和internet，eth0网卡用来连接本地局域网，ppp0用来拨号到internet。我们可能只想为本地局域网提供telnet服务而不想为不安全的internet提供此项服务。有两种选择：在OUTPUT链上用-o选项阻塞设备输出数据，但更好的是在INPUT链上用-i选项阻塞设备输入数据。因此，这条规则可以这样设置：CODE:HYPERLINK"http://bbs.chinaunix.net/v