shell for iptables
#####################################################
## 如有转载,请务必保留本文链接及版权信息
## linux/unix网站运维技术!
##QQ:335623998
##E-mail:335623998@qq.com
#####################################################
文档信息:
文档版本:Version 1.0
修改记录: 2013-04-17
系统环境:CentOS 6.3 64bit
格式约定:
灰色底黑色加粗:为输入的系统命令部分
灰色底:输入的系统命令返回的信息或者配置文件文本信息
绿色底:技巧或需要注意的注释信息
粉色底:需特别注意的地方
蓝色字体:内容注释
 
前言
一台 Server 提供应用的服务端口挺多,如果手工重复操作添加就太没效率了,所以就使用 shell 自动批量化处理。将提供服务的 TCP UDP 端口加入 iptables 允许策略。
系统环境
CentOS release 6.3 (Final)
 
命令优化历程
历程1:一条将TCP服务端口加入iptables命令如下:
 
for i in `netstat -anltp|awk '{print $5}'|awk -F : '{print $2}' |sort -n|uniq|egrep -v '\*|^$'`; do sed -i "4a`echo "-A INPUT -p tcp -m tcp --dport $i -j ACCEPT"`"  /etc/sysconfig/iptables; done;sed -i '4a#tcp port' /etc/sysconfig/iptables;/etc/init.d/iptables restart
 
历程2:为了取端口更精准进行优化后的命令:
 
for i in `netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|sort -n|uniq`; do sed -i "5a`echo "-A INPUT -p tcp -m tcp --dport $i -j ACCEPT"`" /etc/sysconfig/iptables; done && /etc/init.d/iptables restart && iptables -vnL  && sed -i '5a#tcp port' /etc/sysconfig/iptables 
此条命令先查询到监听端口、生成iptables规则、使用sed附加规则到第5行以后并加注释,再重启服务及查询规则。
 
这个我觉得还不够适应于生产应用,为什么呢,我的环境是线上应用且已经有一些iptables规则,如果往iptables配置文件直接插入是需要重启服务生效这会对应用有些影响。
 
历程3:
进一步优化后的命令,推荐:
for port in `netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|sort -n|uniq`; do iptables -I INPUT -p tcp -m tcp --dport $port -j ACCEPT ; done && /etc/init.d/iptables save && iptables -vnL && sed -i '5a#tcp port rule' /etc/sysconfig/iptables
本条shell命令的功能:
1、 查询目前提供服务的TCP端口,并进行数字排序、去除重复端口
2、 根据查询到的服务端口使用命令插入iptables允许规则
3、 使用sed增加注释插入指定行
4、 保存iptables配置
 
详细讲解这条命令:
 
1 、查询到的端口内容格式
# netstat -anltp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name  
tcp        0      0 0.0.0.0:6182                0.0.0.0:*                   LISTEN      17892/mtasvr       
tcp        0      0 0.0.0.0:6150                0.0.0.0:*                   LISTEN      17879/session      
tcp        0      0 0.0.0.0:6151                0.0.0.0:*                   LISTEN      17879/session      
tcp        0      0 127.0.0.1:199               0.0.0.0:*                   LISTEN      1847/snmpd         
…………       
tcp        0      0 0.0.0.0:6130                0.0.0.0:*                   LISTEN      17875/adminsvr     
tcp        0      0 0.0.0.0:57202               0.0.0.0:*                   LISTEN      1780/rpc.statd     
tcp        0      0 0.0.0.0:6195                0.0.0.0:*                   LISTEN      17901/jdaemon      
tcp        0      0 0.0.0.0:6131                0.0.0.0:*                   LISTEN      17875/adminsvr     
tcp        0      0 0.0.0.0:6132                0.0.0.0:*                   LISTEN      17875/adminsvr     
tcp        0      0 0.0.0.0:9909                0.0.0.0:*                   LISTEN      17902/jdaemon      
tcp        0      0 0.0.0.0:6102                0.0.0.0:*                   LISTEN      17876/mdsvr        
tcp        0      0 0.0.0.0:957                0.0.0.0:*                   LISTEN      1861/sshd          
…………………………     
tcp        0 14680 10.0.250.161:957           10.0.250.38:62046           ESTABLISHED 21509/sshd         
tcp        0      0 127.0.0.1:63331             127.0.0.1:6120              ESTABLISHED 17901/jdaemon      
 
2 、筛选出打开的网络端口
 
2.1  取出本地监听端口
netstat -anlt|awk '{print $4}'
(servers
Local
192.168.4.176:5188
127.0.0.1:48102
127.0.0.1:199
0.0.0.0:139
去除的结果开头两行是多余的
 
2.2  使用sed去除开头两行内容
netstat -anlt|awk '{print $4}'|sed -e '1,2d'
192.168.4.176:5188
127.0.0.1:48102
127.0.0.1:199
0.0.0.0:139
127.0.0.1:25
0.0.0.0:445
:::80
:::22
::ffff:192.168.4.176:22
 
2.3 取出端口
如上格式,有些是IPv6的地址格式,我们就以“:”为分隔符,去除倒数第一个内容即端口号
netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'
5188
48102
199
139
25
445
3787
27979
51646
51641
2.4  对端口号进行数字排序、去除重复行
netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|sort -n|uniq
22
25
80
139
199
445
5188
48102
 
3 、iptables命令
3.1 插入规则:默认为filter表、匹配TCP协议、目标端口
iptables -I INPUT -p tcp -m tcp --dport port-number -j ACCEPT
3.2 保存iptables规则
/etc/init.d/iptables save
3.3 查询iptables规则
iptables -vnL
3.4 插入规则注释
sed -i '5a#tcp port rule' /etc/sysconfig/iptables
 
至此iptables增加应用服务TCP端口允许规则已经可以实施。若手工重复一条条增加也太苦B了,一点也不能突显运维工程师的价值,分明就是重复型体力劳动。那如何解决呢?聪明的你一定比我早想到了,对,就是使用shell的for循环。
 
5、 shell for 循环
5.1 首先回顾一下shell for循环的语法结构
for … in  语句语法:
for  变量 in字符串
do
action
done
说明:字符串只要用空格字符分割,每次for…in 读取时,就会按顺序读到值,给前面的变量。
此结构另一种一行的写法:
for  变量 in 字符串; do command action;done 
 
5.2  先写一条iptables规则添加for循环脚本
参考前面的手工添加思路
#!/bin/bash
for port  in 80
do
iptables -I INPUT -p tcp -m tcp --dport $port -j ACCEPT
done 
 
/etc/init.d/iptables save 
iptables -vnL
sed -i '5a#tcp port rule' /etc/sysconfig/iptables
5.3  将其转换为一条命令的for循环格式,如下
for port in 80; do iptables -I INPUT -p tcp -m tcp --dport $port -j ACCEPT ; done && /etc/init.d/iptables save && iptables -vnL && sed -i '5a#tcp port rule' /etc/sysconfig/iptables
5.4  到此推荐的自动添加iptables规则命令就出炉了
  
 
  
    
   
  1. for prot in `netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|sort -n|uniq`; do iptables -I INPUT -p tcp -m tcp --dport $port -j ACCEPT ; done && /etc/init.d/iptables save && iptables -vnL && sed -i '5a#tcp port rule' /etc/sysconfig/iptables 
    2. 
  
 
  
 
   5.5 
   命令执行效果 
  
 
  

   执行命令效果
  
 
  
 
   

    Saving firewall rules to /etc/sysconfig/iptables:          [ OK ]
   
 
   

     
   
 
   

    Chain INPUT (policy ACCEPT 7147 packets, 1707K bytes)
   
 
   

     pkts bytes target     prot opt in     out     source               destination        
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:64853
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:64140
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63876
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63543
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63470
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63459
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63123
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63114
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63112
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63106
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63103
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63075
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63072
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:62994
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:62898
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61881
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61697
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61696
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61531
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61341
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61086
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61068
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61004
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60988
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60923
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60561
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60290
   
 
   

        0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60281
   
 
   

    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60270
   
 
   

    
   
 
  
 
  
 
   iptables
   配置文件内容 
  
 
  
 
   

    cat /etc/sysconfig/iptables
   
 
   

    # Generated by iptables-save v1.3.5 on Wed Apr 17 16:39:34 2013
   
 
   

    *filter
   
 
   

    :INPUT ACCEPT [7437:1794735]
   
 
   

    :FORWARD ACCEPT [0:0]
   
 
   

    :OUTPUT ACCEPT [7945:2335877]
   
 
   

    #tcp port rule
   
 
   

    -A INPUT -p tcp -m tcp --dport 64853 -j ACCEPT
   
 
   

    -A INPUT -p tcp -m tcp --dport 64140 -j ACCEPT
   
 
   

    -A INPUT -p tcp -m tcp --dport 63876 -j ACCEPT
   
 
   

    -A INPUT -p tcp -m tcp --dport 63543 -j ACCEPT
   
 
   

    -A INPUT -p tcp -m tcp --dport 63470 -j ACCEPT
   
 
   

    -A INPUT -p tcp -m tcp --dport 63459 -j ACCEPT
   
 
   

    -A INPUT -p tcp -m tcp --dport 63123 -j ACCEPT
   
 
   

    -A INPUT -p tcp -m tcp --dport 63114 -j ACCEPT
   
 
   

    -A INPUT -p tcp -m tcp --dport 63112 -j ACCEPT
   
 
   

    
   
 
  
 
  

   是不是方便了很多。这是TCP协议端口的添加脚本,UDP端口大家参考修改下即可。
  
 
  

   书写本文的目的并不是告诉大家操作命令如何使用,本文涉及的操作命令及用法大家都很熟悉。我的目的主要是介绍、阐述我所理解的运维思想:运维工作应该自动化、简单化、脚本化、批量化、标准化、统一化。欢迎大家一起交流运维工作。