|
发表于 2003-9-20 09:05:47
|
显示全部楼层
其实用这个方法很简单
你在你的IPTABLES中加入允许上网的网卡的mac地址,而不用禁止IP。当别人乱改IP他也上不了网的
#!/bin/bash
echo "Enable IP Forwarding..."
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
/sbin/iptables -F POSTROUTING -t nat
/sbin/iptables -F PREROUTING -t nat
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -j ACCEPT
/sbin/iptables -A INPUT -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -i eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
#主要是下面一句
#只转发符合上网电脑网卡mac地址的数据包
iptables -A FORWARD -i eth0 -o eth1 -m mac --mac-source 00:50:04:AB:A2:49 -j ACCEPT
#指定上网电脑的IP。如果别人改为这个IP也没有用。因为不能转发
iptables -t nat -A POSTROUTING -o eth1 -s 192.168.0.1 -j MASQUERADE |
|