封鎖分兩個方向:路由器 和 電腦.
1.
路由器的"出"與"進"有特別的chain做定義:
output: src-address這時代表路由器,設定路由器的"出"
input: dst-address這時代表路由器,設定路由器的"進"
2.電腦的"出"與"進"都是用forward
用來做filter"出"的方向: src-address這時是定義本地電腦
用來做filter"進"的方向: dst-address這時是定義本地電腦
若您有仔細觀查,小弟的防火牆幾乎沒對"出"做特別定義,只針對"進"
也就是您建firewall filter做管理時儘量別"出"與"進"做混雜控管,只做某單向即可.
這樣管理時會比較方便閱讀.
有些電腦視情況需大量的連線,如BT或P2P.
這些Port不固定很難掌控,所以要開放進入目的電腦(dst-address)的任何封包.
7,8,9就是針對BT或P2P開放不設限...
