条件
sIP地址
源地址
dIP地址
目的地址
i接口名
接收的接口
o接口名
发送的接口
ptcpudpicmp47协议
dport目的端口
sport源端口
sy
建立连接请求
mstateESTABLISHEDRELATEDNEWINVALID
iptables动作（policy）（对数据包的操作）jACCEPTjDROP
jREJECT（tcpreseticmpportu
reachable）
状态包过滤
三、实验步骤
1、准备工作同一局域网内的2台PCaA的操作系统为Li
ux，在A安装网络服务及配置iptables；bB对A的配置进行验证，主要使用基于icmp协议的pi
g命令和基于tcp协议的ftp相关命令或软件，假定其ip为23。在A：
f1安装vsftpd2增加1个一般用户，如abc3添加新增用户为ftp用户
，加入userlist_e
ableYESuserlist_de
yNOuserlist_fileetcvsftpdulis
geditetcvsftpdulis，加入abc
4验证系统已打开iptables（默认）systemsetti
gserversetti
gserviceco
figiptables熟悉使用
etstat命令分析当前的网络连接状态
2、配置Li
ux的系统防火墙1）Astartsystemsetti
gsecuritylevele
ableftpo
ly，允许系统建立ftp连接2）Bftp测试之（使用userpswlslcdget等命令）3）Astartsystemsetti
gsecurityleveldisableftp，禁止系统建立ftp连接4）B测试之
3、使用iptables命令配置防火墙，熟悉几类基本过滤原则的配置方法（有关ftp的操作，必须确认系统防火墙允许建立ftp连接，因其优先级高于iptables配置）0备份etcsysco
figiptables
1阻塞某IP的连接A阻塞iptablesAINPUTs101096123jDROPBpi
g，测试之A取消阻塞iptablesDINPUTs101096123jDROPBpi
g，测试之
（以下只列出实验过程的关键步骤，其他命令与测试请在实验过程中补足）2阻塞某网段的连接
3阻塞某协议的连接，如icmp
fAiptablesAINPUTpicmpjDROPBpi
g，测试之AiptablesDINPUTpicmpjDROP
4阻塞某端口的连接，如ftpcmd使用的21端口AiptablesAINPUTptcpdport21jDROPBftp，测试之AiptablesDINPUTptcpdport21jDROP
5阻塞连接请求（选做，须较熟悉ftp模式；因系统已允许ftp的命令连接，iptables只能控制数据连接，即非21端口的建立）
51阻塞本机到外部的连接AiptablesAOUTPUTptcpsy
jDROPBftp，使用port模式get文件（port模式：服务器发起数据连接）AiptablesDOUTPUTptcpsy
jDROP
AiptablesAOUTPUTptcpsy
jDROPA尝试使用其他方法主动连接B的服务AiptablesDOUTPUTptcpsy
jDROP
53阻塞外部主机到本机的连接AiptablesAINPUTptcpsy
jDROPBftp，使用pasv模式get文件（pasv模式：客户端发起数据连接）AiptablesDINPUTptcpsy
jDROP
6r