一个高效、安全、通用的防火墙共享上网脚本

platinum

很多人反复在问Linux如何设置才能实现共享上网，干脆写一个步骤出来吧

1、vi /usr/local/sbin/firewall

1. 
   
2. #! /bin/bash
   
3. # Project by Platinum, 2005-05-12"
   
4. 
   
5. # Set MODE (LAN or ADSL)
   
6. MODE="ADSL"
   
7. 
   
8. # Set default gateway (如果MODE==ADSL，此项可以忽略)
   
9. GATEWAY="外网网关"
   
10. 
    
11. # Set Interface WAN (如果MODE==ADSL，此项可以忽略)
    
12. WAN_IP="外网IP地址"
    
13. WAN_ETH="外网网卡"
    
14. WAN_MASK="外网掩码"
    
15. 
    
16. # Set Interface LAN
    
17. LAN_IP="内网IP地址"
    
18. LAN_NET="内网网络地址"
    
19. LAN_ETH="内网网卡"
    
20. LAN_MASK="内网掩码"
    
21. 
    
22. # Set manager
    
23. MANAGER_IP="内网管理员IP"
    
24. MANAGER_MAC="内网管理员MAC"
    
25. 
    
26. # Initialize modules
    
27. modprobe ip_nat_ftp
    
28. echo 1 > /proc/sys/net/ipv4/ip_forward
    
29. 
    
30. # Initialize Interface LAN
    
31. ifconfig $LAN_ETH $LAN_IP netmask $LAN_MASK
    
32. 
    
33. # Initialize policy
    
34. iptables -P INPUT DROP
    
35. iptables -P FORWARD ACCEPT
    
36. iptables -F
    
37. iptables -t nat -F
    
38. 
    
39. # Deny ACK attack
    
40. iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
    
41. iptables -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP
    
42. 
    
43. # Initialize Rules
    
44. iptables -A INPUT -i lo -j ACCEPT
    
45. iptables -A INPUT -i $LAN_ETH -s $MANAGER_IP -m mac --mac-source $MANAGER_MAC -j ACCEPT
    
46. 
    
47. # Added in 2006.02.08, accept all icmp packets except echo-request rate 5/s
    
48. # ========== begin ==========
    
49. iptables -A INPUT -p icmp --icmp-type 8 -m limit --limit 5/s -j ACCEPT
    
50. iptables -A INPUT -p icmp --icmp-type 8 -j DROP
    
51. iptables -A INPUT -p icmp -j ACCEPT
    
52. # =========== end ===========
    
53. 
    
54. iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    
55. 
    
56. case "$MODE" in
    
57.    LAN)
    
58.       # Initialize Interface WAN
    
59.       ifconfig $WAN_ETH $WAN_IP netmask $WAN_MASK
    
60.       iptables -t nat -A POSTROUTING -s $LAN_NET -o $WAN_ETH -j SNAT --to $WAN_IP
    
61.    ;;
    
62.    ADSL)
    
63.       iptables -t nat -A POSTROUTING -s $LAN_NET -o ppp0 -j MASQUERADE
    
64.       GATEWAY=`ifconfig ppp0|grep inet|awk '{print $3}'|awk -F: '{print $2}'`
    
65.    ;;
    
66. esac
    
67. 
    
68. ip route replace default via $GATEWAY
    

复制代码

2、chmod 700 /usr/local/sbin/firewall
　　只有root权限才能读写执行

3、echo "/usr/local/sbin/firewall" >;>; /etc/rc.local
　　让系统启动后自动执行脚本

4、reboot
　　重启系统

自己根据自己的情况改一下就可以了，应该不难懂


注意：
如果是直接设置IP上网，MODE选择LAN
如果是用PPPOE拨号上网，MODE选择ADSL，且保证在执行这个脚本之前已经拨号


[ 本帖最后由 platinum 于 2006-8-14 20:42 编辑 ]

双眼皮的猪

我靠....
00:58,斑竹真是煞费苦心啊....
顶顶顶....

采风

脚本这个东西偶就纳闷，一句话就能写明白的东西要写一百句。。。

platinum

[quote]原帖由 "采风"]脚本这个东西偶就纳闷，一句话就能写明白的东西要写一百句。。。 [/quote 发表：

这个修改起来非常方便，而且很智能啊！
不知道好表说不好，小心我揭你老底

zxz0220

版主辛苦了，感动ing ，支持！！！

saiy828

谢谢  收藏

寂寞烈火

学习

platinum

[quote]原帖由 "寂寞烈火"]学习[/quote 发表：

写的不好，烈火哥多指点指点

万里北国

支持！

惠繪洋

很好的東西, 一可收藏, 二可學習. Yeah....