sslug-teknik team mailing list archive

[Andreas Overgaard <anov@xxxxxx>]

> Er der en her som har et godt eksempel på et firewall script.
> Maskinen skal ikke lave andet end være firewall.
> DVS. at alt trafik skal forwards til en server på den indvendige side.
> 
       -----CUT-----


Lav maskinen til router for dit net.

#!/bin/bash

case "$1" in
  start|restart)
    echo "Aktivere pakke filter"
    /sbin/ipchains -A input --log

    /sbin/ipchains -X
    /sbin/ipchains -F

    /sbin/ipchains -P input DENY
    /sbin/ipchains -P output ACCEPT
    /sbin/ipchains -P forward DENY

    /sbin/ipchains -A input -i lo -p all -j ACCEPT
    /sbin/ipchains -A input -i eth0 -p icmp -s 0/0 -d 0/0 -j ACCEPT

    /sbin/ipchains -A input -i eth0 -p tcp -s 0/0 -d 0/0 80 -j ACCEPT
    /sbin/ipchains -A input -i eth0 -p tcp -s 0/0 -d 0/0 443 -j ACCEPT
    /sbin/ipchains -A input -i eth0 -p tcp -s 0/0 -d 0/0 113 -j ACCEPT

    /sbin/ipchains -A input -i eth0 -p tcp -s 0/0 -d 0/0 20:21 -j ACCEPT
    /sbin/ipchains -A input -i eth0 -p tcp -s 0/0 20:21 -d 0/0 -j ACCEPT

    /sbin/ipchains -A input -i eth0 -p tcp -s 0/0 -d 0/0 22 -j ACCEPT
    /sbin/ipchains -A input -i eth0 -p tcp -s 0/0 22 -d 0/0 -j ACCEPT

    /sbin/ipchains -A input -i eth0 -p tcp -s 0/0 -d 0/0 25 -j ACCEPT
    /sbin/ipchains -A input -i eth0 -p tcp -s 0/0 25 -d 0/0 -j ACCEPT
    /sbin/ipchains -A input -i eth0 -p tcp -s 0/0 -d 0/0 110 -j ACCEPT

    /sbin/ipchains -A input -i eth0 -p udp -s 0/0 -d 0/0 53 -j ACCEPT
    /sbin/ipchains -A input -i eth0 -p udp -s 0/0 53 -d 0/0 -j ACCEPT
  ;;
  stop)
    echo "Deaktivere pakke filter!!"
    /sbin/ipchains -X
    /sbin/ipchains -F
    /sbin/ipchains -P input ACCEPT
    /sbin/ipchains -P output ACCEPT
    /sbin/ipchains -P forward ACCEPT
  ;;
  status)
    /sbin/ipchains -L
  ;;
  *)
    echo "Usage: /etc/init.d/rc.firewall {start|stop|restart|status}"
	esac