Forum Debian Users Gang

 #!/bin/bash 
# zmień tą nazwę na interfejs, jaki łączy Ciebie z Internetem "uplink" 
    UPLINK="eth1" 
# Jeśli ta maszyna jest ruterem ( i powinna przesyłać pakiety pomiędzy interfejsami ) powinieneś powiedzieć ROUTER="yes" w innym wypadku "no"     
    ROUTER="yes" 
# zmień tą linie na statyczny adres IP z twojego interfejsu; dla statycznego SNAT 
# "dynamic" jeśli masz dynamiczny IP. Albo jeśli nie potrzebujesz NAT zmień na "" żeby wyłączyć NAT'a 
    NAT="1.2.3.4" 
# Zmień następną linię tak, żeby ująć wszystkie interfejsy sieciowe włączając lo 
    INTERFACES="lo eth0 eth1" 
# zmień poniższa linię tak, żeby były wymienione wszystkie numery albo symbole ( z /etc/services) wszystkich serwisów, które chcesz udostępnić 
# dla internautów. Jeśli nie chcesz żadnych serwisów wyłącz je przez "" 
    SERVICES="http ftp smtp ssh rsync" 
    if [ "$1" = "start" ]; then 
    echo "Startowanie Firewall..." 
    iptables -P INPUT DROP
     iptables -A INPUT -i ! ${UPLINK} -j ACCEPT
     iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT 
#dopuszcza internautów do wybranych serwisów
     for x in ${SERVICES}
     do
     iptables -A INPUT -p tcp --dport ${x} -m state --state NEW -j ACCEPT
     done
     iptables -A INPUT -p tcp -i ${UPLINK} -j REJECT --reject-with tcp-reset
     iptables -A INPUT -p udp -i ${UPLINK} -j REJECT --reject-with icmp-port-unreachable 
#wyłączenie ECN
     if [ -e /proc/sys/net/ipv4/tcp_ecn ]; then 
    echo 0 > /proc/sys/net/ipv4/tcp_ecn 
    fi 
#wyłączenie spoofowania na wszystkich interfejsach 
    for x in ${INTERFACES} 
    do 
    echo 1 > /proc/sys/net/ipv4/conf/${x}/rp_filter
    done
     if [ "$ROUTER" = "yes" ]; then
 #jeśli jesteśmy ruterem, włącz IP forwarding 
    echo 1 > /proc/sys/net/ipv4/ip_forward
     if [ "$NAT" = "dynamic" ]; then
 #Dynamiczny IP, użycie maskarady 
    echo "Włączenie maskarady (dynamiczny ip)..." 
    iptables -t nat -A POSTROUTING -o ${UPLINK} -j MASQUERADE 
    elif [ "$NAT" != "" ]; then 
#statyczny IP używa SNAT 
    echo "Włączenie SNAT (statyczny IP)..."
     iptables -t nat -A POSTROUTING -o ${UPLINK} -j SNAT --to ${UPIP}
     fi
     fi 
    elif [    "$1" = "stop" ]; then 
    echo "Zatrzymanie Firewalla..." 
    iptables -F INPUT 
    iptables -P INPUT ACCEPT 
#wyłączenie NAT/maskarady jeśli jest 
    iptables -t nat -F POSTROUTING
    fi

chmod +x /etc/init.d/firewall

Startowanie Firewall...
Using intrapositioned negation (`--option ! this`) is deprecated in favor of extrapositioned (`! --option this`).