#開啟DHCP上網
#dhcpd eth0
#加載相關的內核模塊
/sbin/modprobe ip_tables
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
# 清除預設表 filter 中,所有規則鏈中的規則
/sbin/iptables -F
# 清除nat表中,所有規則鏈中的規則
/sbin/iptables -F -t nat
# 清除預設表 filter 中,使用者自訂鏈中的規則
/sbin/iptables -X
#將封包計數器歸零。封包計數器是用來計算同一封包出現次數,是過濾阻斷式攻擊不可或缺的工具
/sbin/iptables -Z
# 清除mangle表中,所有規則鏈中的規則
#iptables -F -t mangle
# 清除mangle表中,使用者自訂鏈中的規則
#iptables -t mangle -X
# 清除nat表中,使用者自訂鏈中的規則
#iptables -t nat -X
#定義鏈的規則(設定預設規則)
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
# 打開 forward 功能 (或在/etc/sysconfig/network 中添加 FORWARD_IPV4=yes 打開轉發功能,實現各網段互訪)
echo "1"> /proc/sys/net/ipv4/ip_forward
# IP轉發
#echo "1">/proc/sys/net/ipv4/ip_forward
#echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_all
#echo "8184000">/proc/sys/net/ipv4/ip_conntrack_max
#echo "1024">/proc/sys/net/ipv4/neigh/default/gc_thresh1
#echo "2048">/proc/sys/net/ipv4/neigh/default/gc_thresh2
#echo "4096">/proc/sys/net/ipv4/neigh/default/gc_thresh3
#將返回給CERNET DNS客戶數據包的源端口(53端口)偽裝成53端口,只要正確的改這裡,下面的機器可以改成任意的dns。
iptables -t nat -A PREROUTING -p udp -d 0.0.0.0/0 --dport 53 -j DNAT --to 218.30.19.40:53
#iptables -t nat -A PREROUTING -p udp -d 192.168.1.1 --dport 53 -j DNAT --to 61.134.1.9:53
#IP 偽裝(SNAT應用)
#使內網的封包經過偽裝之後,使用對外的 eth0 網卡當作代理號,對外連線,進行IP地址偽裝,使得內部的主機的數據包能通過服務器與外界聯系!
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/sbin/iptables -A FORWARD -s 0/0 -d 0/0 -j ACCEPT
#禁止ping
#ping
#iptables -A INPUT -p icmp --icmp-type 8 -s 0/0 -j DROP
#iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j ACCEPT