Iptables的基本语法规

　　4、对每一个报文，iptables依次测试每一条规则，看报文于规则是否相匹配。一旦找到一条匹配的规则，就根192.168.1.1据此规则中指定的行动，对报文进行处置，而对后面的规则不再进行测试。因此，如果我们在规则表的末尾添加一条规则，让iptables丢弃所有报

　　5、仍有一个问题，就是环回接口也被阻断了。刚才添加DROP规则的时候其实就可以使用-ieth0来解决这一

　　问题。然而我们也可以为环回接口添加一条新规则来解决这个问题。但是不能将新规则追加到末尾，因为前

　　一条规则已经把所有报文都丢弃了，而应该把它插到DROP规则前面，即规则表中第的(即DROP之前)

　　8、这样设置的iptables每次开机后就失效了，开机自动配置

　　12、有时只允许单向的TCP连接会很有用。例如，你可能会允许连接到外部WWW服务器，但不会允许来自那个服务器的连接。最简单的举动可能是来自那个服务器的包，可惜，TCP连接需要包双向传送(才能正常工作)。

　　解决办法是，只那些用来请求连接的包。这些包称为SYN包(OK，从技术上说，它们的SYN标志被设置，而没有设置RST和ACK标志，不过我们简单的称为SYN包)。通过只这种包，我们就可以来自那些地方的连接。--syn标志是这样用的：只对指定了TCP协议的规则有效。例如，指定来自192.168.1.1的连接请求。