基于中软Linux实现代理服务器与防火墙(1)
点击次数:27 次 发布日期:2008-11-22 09:45:01 作者:源代码网
|
源代码网推荐作者:李宇 源代码网推荐 源代码网推荐 #!/bin/bash 源代码网推荐 #proxyandfirwall 源代码网推荐 #定义变量 源代码网推荐 EXT_IFACE=eth0 源代码网推荐 EXT_ADDR=192.9.100.8 源代码网推荐 INT_IFACE=eth1 源代码网推荐 INT_ADDR=192.168.0.0/24 源代码网推荐 Manager_Addr=192.168.0.3/32 源代码网推荐 源代码网推荐 #初始化设置 源代码网推荐 serviceiptablesstop 源代码网推荐 iptables-F 源代码网推荐 iptables-tnat-F 源代码网推荐 iptables-X 源代码网推荐 iptables-tnat-X 源代码网推荐 iptables-Z 源代码网推荐 iptables-tnat-Z 源代码网推荐 源代码网推荐 iptables-PINPUTDROP 源代码网推荐 iptables-POUTPUTDROP 源代码网推荐 iptables-PFORWARDDROP 源代码网推荐 iptables-tnat-PPOSTROUTINGDROP 源代码网推荐 源代码网推荐 #启动模块 源代码网推荐 cd/lib/modules/2.4.3-3/kernel/net/ipv4/netfilter 源代码网推荐 modprobeip_conntrack_ftp 源代码网推荐 modprobeip_nat_ftp 源代码网推荐 cd/ 源代码网推荐 源代码网推荐 #设置核心参数 源代码网推荐 源代码网推荐 ##避免pingofdeath攻击 源代码网推荐 echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all 源代码网推荐 ##禁止广播回应(可选) 源代码网推荐 #echo1>/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 源代码网推荐##防止源路由攻击 源代码网推荐echo0>/proc/sys/net/ipv4/conf/all/accept_source_route 源代码网推荐##不接受重定向的icmp数据包 源代码网推荐#echo0>/proc/sys/net/ipv4/conf/all/accept_redirects 源代码网推荐##防止IP欺骗 源代码网推荐forinterfacein/proc/sys/net/ipv4/conf/*/rp_filter;do 源代码网推荐 /bin/echo1>${interface} 源代码网推荐 done 源代码网推荐##禁止IP转发(在配置防火墙时,建议用户先关闭数据包的转发功能) 源代码网推荐echo0>/proc/sys/net/ipv4/ip_forward 源代码网推荐#IP伪装 源代码网推荐iptables-tnat-APOSTROUTING-s$INT_ADDR-o$EXT_IFACE-jMASQUERADE 源代码网推荐#定义forward链规则 源代码网推荐iptables-AFORWARD-mstate--stateINVALID-jDROP 源代码网推荐iptables-AFORWARD-i$INT_IFACE-o$EXT_IFACE-s$INT_ADDR-mstate--state 源代码网推荐RELATED,NEW,ESTABLISHED-jACCEPT 源代码网推荐#iptables-AFORWARD-i$INT_IFACE-s192.168.0.3/32-mmac--mac-source 源代码网推荐00:D0:59:08:5f:23-o$EXT_IFACE-jACCEPT(可以使用该方法实现IP地址与物理地址的捆绑) 源代码网推荐iptables-AFORWARD-i$EXT_IFACE-o$INT_IFACE-d$INT_ADDR-mstate--state 源代码网推荐RELATED,ESTABLISHED-jACCEPT 源代码网推荐#对包碎片的限制(会影响代理服务器的性能) 源代码网推荐#iptables-AFORWARD-f-mlimit--limit100/s--limit-burst100-jACCEPT 源代码网推荐#对外部访问该防火墙作的限制 源代码网推荐iptables-AINPUT-i$EXT_IFACE-mstate--stateESTABLISHED,RELATED-jACCEPT 源代码网推荐iptables-AINPUT-i$EXT_IFACE-ptcp!--syn-jACCEPT 源代码网推荐#对内部用户访问防火墙的限制 源代码网推荐iptables-AINPUT-i$INT_IFACE-picmp-jDROP#(可以对其他协议做限制) 源代码网推荐#........... 源代码网推荐#允许管理员对防火墙的操作 源代码网推荐iptables-AINPUT-s$Manager_Addr-i$INT_IFACE-ptcp--dport3000-jACCEPT 源代码网推荐iptables-AINPUT-s$Manager_Addr-i$INT_IFACE-ptcp--dport22-jACCEPT 源代码网推荐iptables-AOUTPUT-d$Manager_Addr-o$INT_IFACE-mstate--stateESTABLISHED 源代码网推荐-jACCEPT 源代码网推荐#允许发送的数据包(fromgateway) 源代码网推荐iptables-AOUTPUT-o$EXT_IFACE-jACCEPT 源代码网整理以下#允许IP数据包转发 |
