每天解析一个脚本（44）

信息化浪潮席卷全球的当下，数字化转型已成为各行各业的核心驱动力，而作为这一进程守护者的运维工作，其重要性与日俱增。面对瞬息万变的IT环境，复杂多元的系统架构，以及日益严苛的服务质量要求，高效的自动化工具与脚本已成为运维人员提升工作效率、确保系统稳定性不可或缺的“秘密武器”。有鉴于此，我倾力编撰了这份精心筛选与整理的Shell脚本合集，旨在为广大的运维同行献上一份诚意满满的“运维人福利”，助您在应对日常运维挑战时如虎添翼，从容不迫。

这份脚本合集，犹如一座蕴藏着丰富矿藏的知识宝库，凝结了我在实战运维工作中积累的点滴智慧与宝贵经验。它深度聚焦服务器监控、故障排查、数据备份与恢复、性能调优、自动化部署等运维核心领域，旨在为每一位身处其中的专业人士提供全方位的支持。无论是初涉运维领域的新人，渴望快速掌握实战技巧，还是久经沙场的资深专家，寻求优化现有流程、提升运维效能的新思路，都能在这份合集中找寻到契合自身需求的解决方案。

每一款脚本均经过真实业务场景的反复打磨与严格测试，秉持着简洁高效、易于理解和使用的理念设计。它们不仅具备高度的灵活性与适应性，能够轻松应对各种复杂运维环境下的多样化需求，而且注释详尽，逻辑清晰，旨在成为您日常工作中随时查阅、快速上手的实用指南。无论是自动化执行例行任务，迅速响应突发事件，还是深入挖掘系统瓶颈，优化资源分配，这些脚本都将化身为您的得力助手，使繁复的运维工作变得有条不紊，事半功倍。

我热忱欢迎所有运维同仁自由取阅、广泛分享这份宝贵的Shell脚本资源，将其融入个人的工作实践中，或是作为团队协作、技能培训的参考资料。它们不仅是提升个人技能、优化工作流程的有效工具，更是增进同行间技术交流、知识共享的优质载体。让我们携手共进，充分运用这份脚本合集所蕴含的技术力量，积极推动运维工作的智能化、自动化进程，共同为构建稳定、高效、可靠的信息化系统保驾护航，为企业的数字化转型之路奠定坚实基础。在这个瞬息万变的数字化时代，让我们以匠心独运的运维智慧，驾驭科技之舟，破浪前行，共创辉煌！

今天我们要分析的是：

PV过量自动实现防火墙封IP

#!/bin/bash

log=/tmp/tmp.log

[ -f $log ] || touch $log

function add_iptales()

{

while read line

do

ip=`echo $line |awk '{print $2}'`

count=`echo $line |awk '{print $1}'`

if [ $count -gt 100 ] && [ `iptables -L -n |grep "$ip"

|wc -l` -lt 1 ]

then

iptables -I INPUT -s $ip -j DROP

echo -e "$list

isdropped">>/tmp/droplist.log

fi

done<$log

}

function main()

{

while true

do

netstat -an|grep "EST" |awk -F '[:]+' '{print $6}'|sort |uniq -c

>$log

add_iptales

sleep 180

done

}

main

脚本实现过程

1. 定义日志文件及检查其存在性：
2. Bash

1log=/tmp/tmp.log
2[ -f $log ] || touch $log

1. 这段代码定义了日志文件路径为/tmp/tmp.log，接着检查该文件是否存在。如果不存在，使用touch命令创建一个空文件。
2. 定义add_iptales函数：
3. Bash

1function add_iptales()
2{
3    while read line
4    do
5        ip=`echo $line |awk '{print $2}'`
6        count=`echo $line |awk '{print $1}'`
7        if [ $count -gt 100 ] && [ `iptables -L -n |grep "$ip" |wc -l` -lt 1 ]
8        then
9            iptables -I INPUT -s $ip -j DROP
10            echo -e "$list isdropped">>/tmp/droplist.log
11        fi
12    done<$log
13}

1. add_iptales函数负责读取日志文件中的内容，对每一行进行处理：

• 使用while read line循环逐行读取日志文件。
• ip=和count=分别使用awk命令提取当前行的第二列（IP地址）和第一列（连接数）。
• if [ $count -gt 100 ] && [ iptables -L -n |grep "$ip" |wc -l -lt 1 ]：检查连接数是否大于100且该IP尚未被防火墙封禁（通过iptables命令检查INPUT链中是否有匹配该IP的规则）。

• 如果条件满足，执行：

• iptables -I INPUT -s $ip -j DROP：在防火墙INPUT链中插入一条规则，禁止来自该IP的所有入站连接。
• echo -e "$list isdropped">>/tmp/droplist.log：将被封禁的IP记录到/tmp/droplist.log文件中。注意这里的$list变量未在脚本中定义，应为笔误，应改为$ip。

2. 定义main函数：
3. Bash

1function main()
2{
3    while true
4    do
5        netstat -an|grep "EST" |awk -F '[:]+' '{print $6}'|sort |uniq -c
6        >$log
7        add_iptales
8        sleep 180
9    done
10}

1. main函数是脚本的主循环，持续执行以下操作：

• netstat -an|grep "EST" |awk -F '[:]+' '{print $6}'|sort |uniq -c >$log：查询当前网络连接状态，筛选出处于已建立（ESTABLISHED）状态的连接，提取其远程IP地址，统计各IP的连接数，并将结果按连接数排序、去重后写入日志文件。
• add_iptales：调用add_iptales函数，根据日志文件中的IP连接数信息，对符合条件的IP进行防火墙封禁。
• sleep 180：暂停执行180秒（3分钟），然后重新开始下一轮检查。

2. 调用main函数启动脚本：
3. Bash

1main

1. 最后一行调用main函数，启动整个脚本的执行流程。

如何使用

1. 确保所需命令可用：确认系统已安装netstat, awk, iptables等命令。如果没有，通过包管理器（如apt, yum, 或 brew）进行安装。
   
2. 修改脚本：如果需要调整监控的连接状态、连接数阈值、防火墙规则或日志文件路径，请相应地修改脚本中的相关命令和参数。
   
3. 赋予执行权限：使用chmod +x scriptname.sh命令为脚本添加执行权限。
   
4. 运行脚本：在命令行中执行./scriptname.sh启动脚本。脚本将以3分钟为周期持续监控网络连接情况，对连接数超过100且未被封禁的IP进行防火墙封禁，并将封禁记录写入/tmp/droplist.log。
   

总结来说，这个脚本通过定期查询网络连接状态、统计IP连接数，并根据预设阈值自动封禁符合条件的IP地址，实现了对过量连接的IP进行防火墙封锁的功能。用户需确保系统环境具备所需命令，并根据实际需求调整脚本参数，然后启动脚本即可。注意修复echo -e "$list isdropped">>/tmp/droplist.log中的$list变量为$ip。

如果想上手操作练代码的同学们可以通过阿里云ecs服务器免费试用参与！

入口：新老同学免费试用