linux kernel2.6 上的linux全功能共享上网脚本-ehlopxp-ChinaUnix博客

还没有开始飞的笨鸟ehlopxp.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

ehlopxp

博客访问： 2320458
博文数量： 535
博客积分： 8689
博客等级：中将
技术积分： 7066
用户组：普通用户
注册时间： 2010-11-26 10:00

文章分类

全部博文（535）

Rose HA（1）
weblogic（7）
IBMSystemdirecto（2）
DB2（7）
生活杂谈（16）
Solaris（15）
websphere（10）
VMware（7）
AIX（36）
CISCO网络（17）
website（3）
LINUX 安全（15）
Zimbra（1）
windows（10）
ISPCONFIG（1）
ORACLE（52）
UNIX（5）
SVN（4）
SSH（2）
cache（6）
squid（10）
linux 系统（68）
NFS（6）
nginx（9）
cacti（12）
rsync（3）
file_server（4）
vpn（0）
mail（18）
dns（6）
webserver（32）

tomcat（1）
mysql（54）
shell 编程（57）

LVS（1）
iptables（11）
未分配的博文（28）

文章存档

2024年（4）

2023年（4）

2022年（16）

2014年（90）

2013年（76）

2012年（125）

2011年（184）

2010年（37）

我的朋友

相关博文

linux kernel2.6 上的linux全功能共享上网脚本

分类： LINUX

2014-01-10 11:04:32

我自己写的linux kernel2.6 上的linux全功能共享上面脚本。这个本来没什么稀奇，不过呢，其实面上有很多的Linux共享上面的脚本根本就是错的，也有的是RH9那样的2.4适用的脚本。所以呢，把这个东西翻了出来，完善了一下，保证绝对能用的。
这个脚本包含了限制ping，透明代理，端口映射等功能。其实呢，把dns端口53也透明一下的话，客户机设不设DNS就都无所谓了，呵呵~
---------下行开始是脚本正文-----------------------------

#!/bin/bash

#write by xuzhi1977 12/03/2007

#define interface
#WAN
EXT_IF="eth1"
EXT_IP="192.168.123.231"
#LAN
INT_IF="eth0"
INT_IP_RANGE="192.168.200.0/24"
INT_GW_IP="192.168.200.254"
PROXY_IP="192.168.200.254"
WEB_IP="192.168.200.8"

# load mod
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe iptable_filter
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_ftp

echo clear all rules
iptables -F
iptables -F -t nat
iptables -X
iptables -X -t nat
iptables --flush INPUT
iptables --flush FORWARD
iptables --flush POSTROUTING --table nat
iptables --policy FORWARD DROP

echo Drop bad package
iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
iptables -A FORWARD -p TCP ! --syn -m state --state NEW -j DROP

#echo trust LAN 这个在新的IPTALBES里面已经没有意义咯
#iptables -A INPUT --in-interface $LAN_IF -j ACCEPT
#iptables -A OUTPUT --out-interface $LAN_IF -j ACCEPT

echo ICMP:about ping
#外网面卡可以ping到别人，别人ping不到本机外网网卡
iptables -A OUTPUT --out-interface $EXT_IF -p icmp -j ACCEPT
iptables -A INPUT --in-interface $EXT_IF -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT --in-interface $EXT_IF -p icmp --icmp-type echo-request -j DROP
iptables -A FORWARD -i $EXT_IF --match state --state ESTABLISHED,RELATED --jump ACCEPT

echo transport proxy
#iptables -t nat -A PREROUTING -i $INT_IF -p tcp -s $INT_IP_RANGE --dport 80 -j DNAT --to $PROXY_IP:3128
#iptables -t nat -A PREROUTING -i $INT_IF -p tcp -s $INT_IP_RANGE --dport 80 -j REDIRECT --to-port 3128
#anther transport proxy------------------------------------------------------------------
#iptables -t nat -A PREROUTING -d $INT_IP -i $INT_IF \
-p tcp -m tcp --dport 80 -j ACCEPT
#iptables -t nat -A PREROUTING -i $INT_IF -p tcp -m tcp \
--dport 80 -j REDIRECT --to-ports 3128

echo nat
iptables -t nat -A POSTROUTING -s $INT_IP_RANGE -o $EXT_IF -j MASQUERADE
iptables -A FORWARD -s $INT_IP_RANGE -j ACCEPT

echo port mapping
#把对外网IP，80端口的访问，转发到$WEB_IP:80去
/sbin/iptables -t nat -A PREROUTING -d $EXT_IP -p tcp --dport 80 -j DNAT --to-destination $WEB_IP:80
#放行$WEB_IP:80的包
/sbin/iptables -A FORWARD -p tcp -d $WEB_IP --dport 80 -j ACCEPT
#回流（可能应该把$INT_GW_IP改成$EXT_IP才对，没机会测试。呵呵）
/sbin/iptables -t nat -I POSTROUTING -s $LAN_IP_RANGE -p tcp -d 172.16.0.50 --dport 80 -j SNAT --to $INT_GW_IP

阅读(579) | 评论(0) | 转发(0) |

上一篇：linux脚本检查外部服务器端口状态

下一篇：Linux上的Shell之FAQ（二）

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6