(编写SNAT脚本)
vi /etc/snat.sh
#!/bin/bash
echo "1" >/proc/sys/net/ipv4/ip_forward (启用ip转发)
(定义internet接口变量,若使用ppp连接,将下面的eth1换成ppp0)
inet_iface="eth1"
inet_ip="x.x.x.x" (固定的连接到internet的ip)
(定义LAN变量)
lan_iface="eth0"
lan_ip="y.y.y.y"
lan_ip_range="y.y.y.0/24"
ipt="/sbin/iptables"
(加载、整理 内核模块)
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
(清除规则,还原到不设firewall的状态)
$ipt -P INPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -P OUTPUT ACCEPT
$ipt -t nat -P PREROUTING ACCEPT
$ipt -t nat -P POSTROUTING ACCEPT
$ipt -t nat -P OUTPUT ACCEPT
for TABLE in filter nat mangle ; do
$ipt -t $TABLE -F
$ipt -t $TABLE -X
done
(允许已经初始化的回应数据包)
$ipt -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
(允许dns /etc/resolv.conf中指定的进入firewall数据包)
for dns in $(grep ^n /etc/resolv.conf|awk ' {print $2} ' ) ; do
$ipt -A INPUT -p udp -s $dns --sport domain -j ACCEPT
done
(创建用户自定义链LOGDENY,拒绝除lo接口新建立的、无效的连接请求并记入日志)
$ipt -N LOGDENY
$ipt -A LOGDENY -j LOG --log-prefix "iptables:"
$ipt -A LOGDENY -j DROP
$ipt -A INPUT -i ! lo -m state --state NEW, INVALID -j LOGDENY
(根据接口决定使用SANT或者ip伪装)
if [ "$inet_iface" = ppp0 ] ; then
$ipt -t nat -A POSTROUTING -o $inet_iface -j MASQUERADE
else
$ipt -t nat -A POSTROUTING -o $inet_iface -j SNAT --to $inet_ip
fi
(添加脚本可执行权限)
chmod +x /etc/snat.sh
(让脚本随系统启动)
vi /etc/rc.d/rc.local
/etc/snat.sh
注:以上脚本除了基本的SNAT功能外,还进行了必要的包过滤以保证网络安全。
vi /etc/snat.sh
#!/bin/bash
echo "1" >/proc/sys/net/ipv4/ip_forward (启用ip转发)
(定义internet接口变量,若使用ppp连接,将下面的eth1换成ppp0)
inet_iface="eth1"
inet_ip="x.x.x.x" (固定的连接到internet的ip)
(定义LAN变量)
lan_iface="eth0"
lan_ip="y.y.y.y"
lan_ip_range="y.y.y.0/24"
ipt="/sbin/iptables"
(加载、整理 内核模块)
/sbin/depmod -a
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
(清除规则,还原到不设firewall的状态)
$ipt -P INPUT ACCEPT
$ipt -P FORWARD ACCEPT
$ipt -P OUTPUT ACCEPT
$ipt -t nat -P PREROUTING ACCEPT
$ipt -t nat -P POSTROUTING ACCEPT
$ipt -t nat -P OUTPUT ACCEPT
for TABLE in filter nat mangle ; do
$ipt -t $TABLE -F
$ipt -t $TABLE -X
done
(允许已经初始化的回应数据包)
$ipt -A INPUT -m state --state ESTABLISHED, RELATED -j ACCEPT
(允许dns /etc/resolv.conf中指定的进入firewall数据包)
for dns in $(grep ^n /etc/resolv.conf|awk ' {print $2} ' ) ; do
$ipt -A INPUT -p udp -s $dns --sport domain -j ACCEPT
done
(创建用户自定义链LOGDENY,拒绝除lo接口新建立的、无效的连接请求并记入日志)
$ipt -N LOGDENY
$ipt -A LOGDENY -j LOG --log-prefix "iptables:"
$ipt -A LOGDENY -j DROP
$ipt -A INPUT -i ! lo -m state --state NEW, INVALID -j LOGDENY
(根据接口决定使用SANT或者ip伪装)
if [ "$inet_iface" = ppp0 ] ; then
$ipt -t nat -A POSTROUTING -o $inet_iface -j MASQUERADE
else
$ipt -t nat -A POSTROUTING -o $inet_iface -j SNAT --to $inet_ip
fi
(添加脚本可执行权限)
chmod +x /etc/snat.sh
(让脚本随系统启动)
vi /etc/rc.d/rc.local
/etc/snat.sh
注:以上脚本除了基本的SNAT功能外,还进行了必要的包过滤以保证网络安全。