#!/bin/sh
## Zmienne
ip_int_linux=212.121.121.122
ip_int_net=192.168.0.0/24
## Load modules
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
# Flush Firewall & NAT
/sbin/iptables -X
/sbin/iptables -t nat -X
/sbin/iptables -F
/sbin/iptables -t nat -F
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
## Add IPMASQUARADE internet
# /sbin/iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A FORWARD -s 0/0 -d 192.168.0.0/24 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to $ip_int_linux
# /sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

## SWAT blokada z inetu
/sbin/iptables -A INPUT -p tcp -s 0/0 -d 212.121.121.122/32 --dport 901 -j DROP
/sbin/iptables -A INPUT -p udp -s 0/0 -d 212.121.121.122/32 --dport 901 -j DROP
/sbin/iptables -A OUTPUT -p tcp -d 0/0 -s 212.121.121.122/32 --sport 901 -j DROP
/sbin/iptables -A OUTPUT -p udp -d 0/0 -s 212.121.121.122/32 --sport 901 -j DROP
## BOOTPS/DHCPD blokada z inetu
/sbin/iptables -A INPUT -p tcp -s 0/0 -d 212.121.121.122/32 --dport 67 -j DROP
/sbin/iptables -A INPUT -p udp -s 0/0 -d 212.121.121.122/32 --dport 67 -j DROP
/sbin/iptables -A OUTPUT -p tcp -d 0/0 -s 212.121.121.122/32 --sport 67 -j DROP
/sbin/iptables -A OUTPUT -p udp -d 0/0 -s 212.121.121.122/32 --sport 67 -j DROP
## SMB blokada z inetu
/sbin/iptables -A INPUT -p tcp -s 0/0 -d 212.121.121.122/32 --dport 137:139 -j DROP
/sbin/iptables -A INPUT -p udp -s 0/0 -d 212.121.121.122/32 --dport 137:139 -j DROP
/sbin/iptables -A OUTPUT -p tcp -d 0/0 -s 212.121.121.122/32 --sport 137:139 -j DROP
/sbin/iptables -A OUTPUT -p udp -d 0/0 -s 212.121.121.122/32 --sport 137:139 -j DROP
## FTP blokada z inetu
/sbin/iptables -A INPUT -p tcp -s 0/0 -d 212.121.121.122/32 --dport 20:21 -j DROP
/sbin/iptables -A INPUT -p udp -s 0/0 -d 212.121.121.122/32 --dport 20:21 -j DROP
/sbin/iptables -A OUTPUT -p tcp -d 0/0 -s 212.121.121.122/32 --sport 20:21 -j DROP
/sbin/iptables -A OUTPUT -p udp -d 0/0 -s 212.121.121.122/32 --sport 20:21 -j DROP
## HTTP blokada z inetu
/sbin/iptables -A INPUT -p tcp -s 0/0 -d 212.121.121.122/32 --dport 80 -j DROP
/sbin/iptables -A INPUT -p udp -s 0/0 -d 212.121.121.122/32 --dport 80 -j DROP
/sbin/iptables -A OUTPUT -p tcp -d 0/0 -s 212.121.121.122/32 --sport 80 -j DROP
/sbin/iptables -A OUTPUT -p udp -d 0/0 -s 212.121.121.122/32 --sport 80 -j DROP
## POP3 dostep z localnetu i localhosta
/sbin/iptables -A INPUT -p tcp -s 192.168.0.0/24 -d 212.121.121.122/32 --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 192.168.0.0/24 -d 212.121.121.122/32 --dport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 192.168.0.0/24 -s 212.121.121.122/32 --sport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -d 192.168.0.0/24 -s 212.121.121.122/32 --sport 110 -j ACCEPT
/sbin/iptables -A INPUT -p tcp -s 127.0.0.0/8 -d 212.121.121.122/32 --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -p udp -s 127.0.0.0/8 -d 212.121.121.122/32 --dport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -d 127.0.0.0/8 -s 212.121.121.122/32 --sport 110 -j ACCEPT
/sbin/iptables -A OUTPUT -p udp -d 127.0.0.0/8 -s 212.121.121.122/32 --sport 110 -j ACCEPT
## POP3 blokada z inetu
/sbin/iptables -A INPUT -p tcp -s 0/0 -d 212.121.121.122/32 --dport 110 -j DROP
/sbin/iptables -A INPUT -p udp -s 0/0 -d 212.121.121.122/32 --dport 110 -j DROP
/sbin/iptables -A OUTPUT -p tcp -d 0/0 -s 212.121.121.122/32 --sport 110 -j DROP
/sbin/iptables -A OUTPUT -p udp -d 0/0 -s 212.121.121.122/32 --sport 110 -j DROP

# Przekierowanie na klienta wewnetrznej sieci
#iptables -t nat -A PREROUTING -p tcp -dport 2589 -j DNAT -to-destination 192.168.0.5:2589
#iptables -t nat -A PREROUTING -p udp -dport 2589 -j DNAT -to-destination 192.168.0.5:2589


## Redirect zapytan na port 53 do DNS
# /sbin/iptables -t nat -A PREROUTING -p tcp -s 192.168.0.0/24 --dport 53 -j DNAT --to 192.168.0.3:53
# /sbin/iptables -t nat -A PREROUTING -p udp -s 192.168.0.0/24 --dport 53 -j DNAT --to 192.168.0.3:53
## redirect z 80 na squida
# /sbin/iptables -t nat -A PREROUTING -p tcp -s 192.168.17.0/24 -i eth1 --dport 80 -j DNAT --to 192.168.17.254:8080
# /sbin/iptables -t nat -A PREROUTING -p udp -s 192.168.17.0/24 -i eth1 --dport 80 -j DNAT --to 192.168.17.254:8080

# /sbin/iptables -A PREROUTING -t nat -p tcp -d 192.168.0.1 --dport 5080 -j DNAT --to 212.121.121.122:5080
# /sbin/iptables -A PREROUTING -t nat -p udp -d 192.168.0.1 --dport 5080 -j DNAT --to 212.121.121.122:5080