Linux 网关服务器 iptables脚本

#!/bin/bash
#为了方便调试工作，将防火墙规则写成脚本形式方便调试。
echo "1" > /proc/sys/net/ipv4/ip_forward
arp -f /root/mac.txt
#以mac.txt文件定义的主机ip及mac地址来代替原有arp对应关系；每增加一台工作用机，就要重新运行一次此脚本。
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
-F INPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -t nat -F
iptables -P FORWARD DROP

#客户机绑定mac地址才能上网，这样防止恶意增加IP在公司内部上网，引起不安全隐患。
cat /root/mac.txt | while read LINE
do
        ipad =`echo $LINE | awk '{print $1}'`
        macd=`echo $LINE | awk '{print $2}'`
iptables -A FORWARD -s $ipad -m mac --mac-source $macd -j ACCEPT
done

#网关上有几块网卡，eth0接的是外网IP地址，eth1、eth2等对应该局域网IP
iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to 59.195.233.234

/root/mac.txt部分内容如下：
192.168.1.50 00:16:D3:F6:BD:F5
192.168.1.57 00:16:36:B4:6C:5D
192.168.1.58 00:13:D3:20:04:12
192.168.1.59 00:1E:37:15:18:59
192.168.1.60 00:16:D3:5F:23:B7
192.168.1.65 00:E0:4C:01:1B:85
192.168.1.66 00:1E:37:15:18:59
192.168.1.67 00:E0:B1:B2:58:18
192.168.1.68 00:15:58:20:47:18
192.168.1.80 00:17:31:67:98:DA
192.168.1.88 00:E0:4C:01:1B:85
192.168.1.93 00:21:85:30:7F:DE
192.168.1.94 00:E2:1C:D1:60:41
192.168.1.97 00:13:D3:5E:2F:12
192.168.1.98 00:1D:0F:0F:CC:A2
192.168.1.99 00:19:DB:64:13:5A