一般而言，实现Linux的防火墙功能有两种策略。一种是首先全面禁止所有的输入、输出和转发数据包，然后根据用户的具体需要逐步打开各项服务功能。这种方式的特点是安全性很高，但必须全面考虑用户所需的各项服务功能，不能有任何遗漏，要求系统管理员清楚地知道实现某种服务和功能需要打开哪些服务和端口。第二种方式是首先默认打开所有的输入、输出数据包，然后禁止某些危险包、IP欺骗包、广播包、ICMP服务类型攻击等；对于应用层的服务，像http、sendmail、pop3、ftp等，可以有选择地启动或安装。这种方式虽然没有第一种方式安全，但比较容易配置，不需要过多地了解ipchains命令...