shell for循環案例：自動批量添加iptables應用端口規則

 

shell for 循環案例：自動批量添加iptables應用端口規則

#####################################################

## 若有轉載，請務必保留本文連接及版權信息

## 歡迎廣大運維同仁一塊兒交流linux/unix網站運維技術!

##QQ:335623998

##E-mail:335623998@qq.com

## 博客： http://dreamway.blog.51cto.com/

##weibo ： http://weibo.com/zhaixiangpan

#####################################################

文檔信息：

文檔版本：Version 1.0

修改記錄： 2013-04-17

系統環境：CentOS 6.3 64bit

格式約定：

灰色底黑色加粗：爲輸入的系統命令部分

灰色底：輸入的系統命令返回的信息或者配置文件文本信息

綠色底：技巧或須要注意的註釋信息

粉色底：需特別注意的地方

藍色字體：內容註釋

 

前言

一臺 Server 提供應用的服務端口挺多，若是手工重複操做添加就太沒效率了，因此就使用 shell 自動批量化處理。將提供服務的 TCP 、 UDP 端口加入 iptables 容許策略。

系統環境

CentOS release 6.3 (Final)

 

命令優化歷程

歷程1：一條將TCP服務端口加入iptables命令以下：

 

for i in `netstat -anltp|awk '{print $5}'|awk -F : '{print $2}' |sort -n|uniq|egrep -v '\*|^$'`; do sed -i "4a`echo "-A INPUT -p tcp -m tcp --dport $i -j ACCEPT"`"  /etc/sysconfig/iptables; done;sed -i '4a#tcp port' /etc/sysconfig/iptables;/etc/init.d/iptables restart

 

歷程2：爲了取端口更精準進行優化後的命令：

 

for i in `netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|sort -n|uniq`; do sed -i "5a`echo "-A INPUT -p tcp -m tcp --dport $i -j ACCEPT"`" /etc/sysconfig/iptables; done && /etc/init.d/iptables restart && iptables -vnL  && sed -i '5a#tcp port' /etc/sysconfig/iptables 

此條命令先查詢到監聽端口、生成iptables規則、使用sed附加規則到第5行之後並加註釋，再重啓服務及查詢規則。

 

這個我以爲還不夠適應於生產應用，爲何呢，個人環境是線上應用且已經有一些iptables規則，若是往iptables配置文件直接插入是須要重啓服務生效這會對應用有些影響。

 

歷程3：

進一步優化後的命令,推薦：

for port in `netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|sort -n|uniq`; do iptables -I INPUT -p tcp -m tcp --dport $port -j ACCEPT ; done && /etc/init.d/iptables save && iptables -vnL && sed -i '5a#tcp port rule' /etc/sysconfig/iptables

本條shell命令的功能：

一、 查詢目前提供服務的TCP端口，並進行數字排序、去除重複端口

二、 根據查詢到的服務端口使用命令插入iptables容許規則

三、 使用sed增長註釋插入指定行

四、 保存iptables配置

 

詳細講解這條命令：

 

1 、查詢到的端口內容格式

# netstat -anltp

Active Internet connections (servers and established)

Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name  

tcp        0      0 0.0.0.0:6182                0.0.0.0:*                   LISTEN      17892/mtasvr       

tcp        0      0 0.0.0.0:6150                0.0.0.0:*                   LISTEN      17879/session      

tcp        0      0 0.0.0.0:6151                0.0.0.0:*                   LISTEN      17879/session      

tcp        0      0 127.0.0.1:199               0.0.0.0:*                   LISTEN      1847/snmpd         

…………       

tcp        0      0 0.0.0.0:6130                0.0.0.0:*                   LISTEN      17875/adminsvr     

tcp        0      0 0.0.0.0:57202               0.0.0.0:*                   LISTEN      1780/rpc.statd     

tcp        0      0 0.0.0.0:6195                0.0.0.0:*                   LISTEN      17901/jdaemon      

tcp        0      0 0.0.0.0:6131                0.0.0.0:*                   LISTEN      17875/adminsvr     

tcp        0      0 0.0.0.0:6132                0.0.0.0:*                   LISTEN      17875/adminsvr     

tcp        0      0 0.0.0.0:9909                0.0.0.0:*                   LISTEN      17902/jdaemon      

tcp        0      0 0.0.0.0:6102                0.0.0.0:*                   LISTEN      17876/mdsvr        

tcp        0      0 0.0.0.0:957                0.0.0.0:*                   LISTEN      1861/sshd          

…………………………     

tcp        0 14680 10.0.250.161:957           10.0.250.38:62046           ESTABLISHED 21509/sshd         

tcp        0      0 127.0.0.1:63331             127.0.0.1:6120              ESTABLISHED 17901/jdaemon      

 

2 、篩選出打開的網絡端口

 

2.1 取出本地監聽端口

netstat -anlt|awk '{print $4}'

(servers

Local

192.168.4.176:5188

127.0.0.1:48102

127.0.0.1:199

0.0.0.0:139

略

去除的結果開頭兩行是多餘的

 

2.2 使用sed去除開頭兩行內容

netstat -anlt|awk '{print $4}'|sed -e '1,2d'

192.168.4.176:5188

127.0.0.1:48102

127.0.0.1:199

0.0.0.0:139

127.0.0.1:25

0.0.0.0:445

略

:::80

:::22

::ffff:192.168.4.176:22

 

2.3 取出端口

如上格式，有些是IPv6的地址格式，咱們就以「:」爲分隔符，去除倒數第一個內容即端口號

netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'

5188

48102

199

139

25

445

3787

27979

51646

51641

略

2.4 對端口號進行數字排序、去除重複行

netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|sort -n|uniq

22

25

80

139

199

445

5188

48102

略

 

3 、iptables命令

3.1 插入規則：默認爲filter表、匹配TCP協議、目標端口

iptables -I INPUT -p tcp -m tcp --dport port-number -j ACCEPT

3.2 保存iptables規則

/etc/init.d/iptables save

3.3 查詢iptables規則

iptables -vnL

3.4 插入規則註釋

sed -i '5a#tcp port rule' /etc/sysconfig/iptables

 

至此iptables增長應用服務TCP端口容許規則已經能夠實施。若手工重複一條條增長也太苦B了，一點也不能突顯運維工程師的價值，分明就是重複型體力勞動。那如何解決呢？聰明的你必定比我早想到了，對，就是使用shell的for循環。

 

五、 shell for 循環

5.1 首先回顧一下shell for循環的語法結構

for … in 語句語法：

for 變量 in字符串

do

action

done

說明：字符串只要用空格字符分割，每次for…in 讀取時，就會按順序讀到值，給前面的變量。

此結構另外一種一行的寫法：

for 變量 in 字符串; do command action;done 

 

5.2 先寫一條iptables規則添加for循環腳本

參考前面的手工添加思路

#!/bin/bash

for port  in 80

do

iptables -I INPUT -p tcp -m tcp --dport $port -j ACCEPT

done 

 

/etc/init.d/iptables save 

iptables -vnL

sed -i '5a#tcp port rule' /etc/sysconfig/iptables

5.3 將其轉換爲一條命令的for循環格式，以下

for port in 80; do iptables -I INPUT -p tcp -m tcp --dport $port -j ACCEPT ; done && /etc/init.d/iptables save && iptables -vnL && sed -i '5a#tcp port rule' /etc/sysconfig/iptables

5.4 到此推薦的自動添加iptables規則命令就出爐了

 

for prot in `netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|sort -n|uniq`; do iptables -I INPUT -p tcp -m tcp --dport $port -j ACCEPT ; done && /etc/init.d/iptables save && iptables -vnL && sed -i '5a#tcp port rule' /etc/sysconfig/iptables

5.5 命令執行效果

執行命令效果

Saving firewall rules to /etc/sysconfig/iptables:          [ OK ]

 

Chain INPUT (policy ACCEPT 7147 packets, 1707K bytes)

 pkts bytes target     prot opt in     out     source               destination        

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:64853

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:64140

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63876

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63543

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63470

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63459

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63123

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63114

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63112

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63106

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63103

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63075

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63072

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:62994

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:62898

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61881

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61697

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61696

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61531

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61341

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61086

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61068

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61004

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60988

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60923

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60561

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60290

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60281

0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60270

略

iptables 配置文件內容

cat /etc/sysconfig/iptables

# Generated by iptables-save v1.3.5 on Wed Apr 17 16:39:34 2013

*filter

:INPUT ACCEPT [7437:1794735]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [7945:2335877]

#tcp port rule

-A INPUT -p tcp -m tcp --dport 64853 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 64140 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 63876 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 63543 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 63470 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 63459 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 63123 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 63114 -j ACCEPT

-A INPUT -p tcp -m tcp --dport 63112 -j ACCEPT

略

是否是方便了不少。這是TCP協議端口的添加腳本，UDP端口你們參考修改下便可。

書寫本文的目的並非告訴你們操做命令如何使用，本文涉及的操做命令及用法你們都很熟悉。個人目的主要是介紹、闡述我所理解的運維思想:運維工做應該自動化、簡單化、腳本化、批量化、標準化、統一化。歡迎你們一塊兒交流運維工做。