一个高效、安全、通用的防火墙共享上网脚本
时间:2006-08-15 来源:huanghaojie
http://bbs.chinaunix.net/viewthread.php?tid=543612&extra=page%3D1
vi /usr/local/sbin/firewall
vi /usr/local/sbin/firewall
CODE:
[Copy to clipboard]
#! /bin/bash
# Project by Platinum, 2005-05-12"
# Set MODE (LAN or ADSL)
MODE="ADSL"
# Set default gateway (如果MODE==ADSL,此项可以忽略)
GATEWAY="外网网关"
# Set Interface WAN (如果MODE==ADSL,此项可以忽略)
WAN_IP="外网IP地址"
WAN_ETH="外网网卡"
WAN_MASK="外网掩码"
# Set Interface LAN
LAN_IP="内网IP地址"
LAN_NET="内网网络地址"
LAN_ETH="内网网卡"
LAN_MASK="内网掩码"
# Set manager
MANAGER_IP="内网管理员IP"
MANAGER_MAC="内网管理员MAC"
# Initialize modules
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
# Initialize Interface LAN
ifconfig $LAN_ETH $LAN_IP netmask $LAN_MASK
# Initialize policy
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -F
iptables -t nat -F
# Deny ACK attack
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
####iptables -p tcp --syn
这个匹配或多或少算是ipchains时代的遗留物,之所以还保留它,是为了向后
兼容,也是为了方便规则在iptables和ipchains间的转换。它匹配那些SYN标
记被设置而 ACK和RST标记没有设置的包,这和iptables -p tcp --tcp-flags
SYN,RST,ACK SYN 的作用毫无二样。这样的包主要用在TCP连接初始化时发出
请求。如果你阻止了这样的包,也就阻止了所有由外向内的连接企图,这在一
定程度上防止了一些攻击。但外出的连接不受影响,恰恰现在有很多攻击就利
用这一点。比如有些攻击黑掉服务器之后安装会一些软件,它们能够利用已存
的连接到达你的机子,而不要再新开一个端口。这个匹配也可用英文感叹号取
反,如:! --syn用来匹配那些 RST或ACK被置位的包,换句话说,就是状态为
已建立的连接的包。
# Initialize Rules
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $LAN_ETH -s $MANAGER_IP -m mac --mac-source $MANAGER_MAC -j ACCEPT
# Added in 2006.02.08, accept all icmp packets except echo-request rate 5/s
# ========== begin ==========
iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 5/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
iptables -A INPUT -p icmp -j ACCEPT
# =========== end ===========
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
case "$MODE" in
LAN)
# Initialize Interface WAN
ifconfig $WAN_ETH $WAN_IP netmask $WAN_MASK
iptables -t nat -A POSTROUTING -s $LAN_NET -o $WAN_ETH -j SNAT --to $WAN_IP
;;
ADSL)
iptables -t nat -A POSTROUTING -s $LAN_NET -o ppp0 -j MASQUERADE
GATEWAY=`ifconfig ppp0|grep inet|awk '{print $3}'|awk -F: '{print $2}'`
;;
esac
ip route replace default via $GATEWAY 2、chmod 700 /usr/local/sbin/firewall
只有root权限才能读写执行
3、echo "/usr/local/sbin/firewall" >;>; /etc/rc.local
让系统启动后自动执行脚本
4、reboot
重启系统
自己根据自己的情况改一下就可以了,应该不难懂
注意:
如果是直接设置IP上网,MODE选择LAN
如果是用PPPOE拨号上网,MODE选择ADSL,且保证在执行这个脚本之前已经拨号
# Project by Platinum, 2005-05-12"
# Set MODE (LAN or ADSL)
MODE="ADSL"
# Set default gateway (如果MODE==ADSL,此项可以忽略)
GATEWAY="外网网关"
# Set Interface WAN (如果MODE==ADSL,此项可以忽略)
WAN_IP="外网IP地址"
WAN_ETH="外网网卡"
WAN_MASK="外网掩码"
# Set Interface LAN
LAN_IP="内网IP地址"
LAN_NET="内网网络地址"
LAN_ETH="内网网卡"
LAN_MASK="内网掩码"
# Set manager
MANAGER_IP="内网管理员IP"
MANAGER_MAC="内网管理员MAC"
# Initialize modules
modprobe ip_nat_ftp
echo 1 > /proc/sys/net/ipv4/ip_forward
# Initialize Interface LAN
ifconfig $LAN_ETH $LAN_IP netmask $LAN_MASK
# Initialize policy
iptables -P INPUT DROP
iptables -P FORWARD ACCEPT
iptables -F
iptables -t nat -F
# Deny ACK attack
iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
####iptables -p tcp --syn
这个匹配或多或少算是ipchains时代的遗留物,之所以还保留它,是为了向后
兼容,也是为了方便规则在iptables和ipchains间的转换。它匹配那些SYN标
记被设置而 ACK和RST标记没有设置的包,这和iptables -p tcp --tcp-flags
SYN,RST,ACK SYN 的作用毫无二样。这样的包主要用在TCP连接初始化时发出
请求。如果你阻止了这样的包,也就阻止了所有由外向内的连接企图,这在一
定程度上防止了一些攻击。但外出的连接不受影响,恰恰现在有很多攻击就利
用这一点。比如有些攻击黑掉服务器之后安装会一些软件,它们能够利用已存
的连接到达你的机子,而不要再新开一个端口。这个匹配也可用英文感叹号取
反,如:! --syn用来匹配那些 RST或ACK被置位的包,换句话说,就是状态为
已建立的连接的包。
# Initialize Rules
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $LAN_ETH -s $MANAGER_IP -m mac --mac-source $MANAGER_MAC -j ACCEPT
# Added in 2006.02.08, accept all icmp packets except echo-request rate 5/s
# ========== begin ==========
iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 5/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j DROP
iptables -A INPUT -p icmp -j ACCEPT
# =========== end ===========
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
case "$MODE" in
LAN)
# Initialize Interface WAN
ifconfig $WAN_ETH $WAN_IP netmask $WAN_MASK
iptables -t nat -A POSTROUTING -s $LAN_NET -o $WAN_ETH -j SNAT --to $WAN_IP
;;
ADSL)
iptables -t nat -A POSTROUTING -s $LAN_NET -o ppp0 -j MASQUERADE
GATEWAY=`ifconfig ppp0|grep inet|awk '{print $3}'|awk -F: '{print $2}'`
;;
esac
ip route replace default via $GATEWAY 2、chmod 700 /usr/local/sbin/firewall
只有root权限才能读写执行
3、echo "/usr/local/sbin/firewall" >;>; /etc/rc.local
让系统启动后自动执行脚本
4、reboot
重启系统
自己根据自己的情况改一下就可以了,应该不难懂
注意:
如果是直接设置IP上网,MODE选择LAN
如果是用PPPOE拨号上网,MODE选择ADSL,且保证在执行这个脚本之前已经拨号
相关阅读 更多 +
