一個高效、安全、通用的防火牆共享上網指令碼(轉)

gugu99發表於2007-08-10
防火牆指令碼
一個高效、安全、通用的防火牆共享上網指令碼(轉)[@more@]

  1、vi /usr/local/sbin/firewall

  #! /bin/bash

# Project by Platinum, 2005-05-12"

# Set Interface WAN

WAN_IP="外網路卡地址"

WAN_ETH="eth0"

WAN_MASK="外網路卡掩碼地址"

# Set Interface LAN

LAN_IP="內網路卡地址"

LAN_ETH="eth1"

LAN_MASK="內網路卡掩碼地址"

# Set MODE (LAN or ADSL)

MODE="LAN"

# Set default gateway

GATEWAY="閘道器地址"

# Set manager

MANAGER_IP="內網管理員IP"

MANAGER_MAC="XX:XX:XX:XX:XX:XX"

# Initialize modules

modprobe ip_nat_ftp

modprobe ip_conntrack_ftp

echo 1 > /proc/sys/net/ipv4/ip_forward

# Initialize Interface LAN

ifconfig $LAN_ETH $LAN_IP netmask $LAN_MASK

# Initialize policy

iptables -P INPUT DROP

iptables -P FORWARD ACCEPT

iptables -F

iptables -t nat -F

iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -i $LAN_ETH -s $MANGE_IP -m mac --mac-source $MANGE_MAC -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

case "$MODE" in

  LAN)

    # Initialize Interface WAN

    ifconfig $WAN_ETH $WAN_IP netmask $WAN_MASK

    iptables -t nat -A POSTROUTING -s $LAN_NET -o $WAN_ETH -j SNAT --to $WAN_IP

  ;;

  ADSL)

    iptables -t nat -A POSTROUTING -s $LAN_NET -o ppp0 -j MASQUERADE

    GATEWAY=`ifconfig ppp0|grep inet|awk '{print $3}'|awk -F: '{print $2}'`

  ;;

esac

ip route replace default via $GATEWAY

  2、chmod 700 /usr/local/sbin/firewall

  只有root許可權才能讀寫執行

  3、echo "/usr/local/sbin/firewall" >> /etc/rc.local

  讓系統啟動後自動執行指令碼

  4、reboot

  重啟系統

  自己根據自己的情況改一下就可以了,應該不難懂

  注意:

  如果是直接設定IP上網,MODE選擇LAN

  如果是用PPPOE撥號上網,MODE選擇ADSL,且保證在執行這個指令碼之前已經撥號

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10748419/viewspace-939920/,如需轉載,請註明出處,否則將追究法律責任。

相關文章