#www.138139.cn

　　#防止网络上其它计算机使用Ping命令探测本机：
-A INPUT -p icmp --icmp-type echo-request -i eth0 -j DROP
#
# 防止广播包从IP代理服务器进入局域网：
-A INPUT -s 255.255.255.255 -i eth0 -j DROP
-A INPUT -s 224.0.0.0/224.0.0.0 -i eth0 -j DROP
-A INPUT -d 0.0.0.0 -i eth0 -j DROP
# 屏蔽掉以下的TCP和UDP端口：
-A INPUT -i eth1 -p udp -m udp --dport 3 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 3 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 111 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 111 -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 587 -j DROP
-A INPUT -i eth1 -p tcp -m tcp --dport 587 -j DROP
#
COMMIT
###################################### Filter段结束 #####################################

修改完以上的文件后，再将/etc/sysctl.conf 文件里面修改成 net.ipv4.ip_forward = 1 ，这个很重要，不然NAT代理不能生效的！

然后用#: service iptables restart 这个指令重起iptables 服务！！OK，你再试试看代理服务和WEB能否则正常访问，我想一定可以的！

附：
Web Server 端口映射一定要在 Iptables NAT透明代理指令前面，否则内网用户将无法通过公网IP或域名访问内网的Web服务器！
如果有需要做一些过协议过滤，比如公司的要过滤掉QQ等，请搜索CU论坛。网址是：一六三一六四.COM 的其它帖子，这就不在本帖的讨论范围了！