防火牆大多數都是擋外不擋內,由外部主動連進內部的封包做一個檢查,
檢查旗標,來源IP,來源連接埠,目地的IP,目的地的連接埠~~~~
以iptables 的語法為例:
iptables -t filter -A INPUT -p tcp -dport 80 -i eth0 -s 192.168.0.1 -o eth1 -d 192.168.0.2 -j ACCEPT
上述的是指要符合以上條件的封包才被允許
INPUT的由主機eth0網卡輸入的 從192.168.0.1的封包,要從eth1的網卡連到192.168.0.2的tcp 80port的封包允許
當然也有更嚴謹的做法,針對output ,forward 等去做一個設定
但是這麼做也有麻煩性在,如果Output跟forward都指定好IP跟PORT的話,那又會有個問題是在於,網站中文章的超連接若是連到某個你沒加入到防火牆規則的網站的話,就要一筆一筆的加入到防火牆的規則裡,反倒是麻煩,而且規則太多的話防火牆效率也低很多(因為要一條條比對)
另外樓上也有網友指出,木馬大多數用的是合法的PORT,你怎麼去針對PORT去做一個防範(內到外).
防火牆主要的目的是在於防範外部的駭客或是惡意程式主動的攻擊你的電腦,

之前去上TCSE跟Kaspersky都有說,木馬是不會主動安裝在你的電腦裡,都是使用者自己點下確定才會被安裝,所以~~~要防範木馬的最好方法就是,使用者擁有良好的上網習習慣



是不是只用軟體防火牆嚴格控管程式對網路I/O存取
就可以100%封鎖木馬了?

Ans:不是,使用者良好的習慣更為重要,木馬主要是在你電腦裡開個後門,讓駭客能夠進到你的電腦
而且木馬沒有攻擊,破壞性