iptables启动脚本分析

最新推荐文章于 2022-11-18 15:38:21 发布
最新推荐文章于 2022-11-18 15:38:21 发布
阅读量3.8k 收藏
点赞数
分类专栏: Linux 文章标签: iptables linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangliangyu/article/details/37913971
版权 
#!/bin/sh   
#   
# iptables      Start iptables firewall   
#   
# chkconfig: 2345 08 92   
# description:  Starts, stops and saves iptables firewall   
#   
# config: /etc/sysconfig/iptables   
# config: /etc/sysconfig/iptables-config   
#   
### BEGIN INIT INFO   
# Provides: iptables   
# Required-Start:   
# Required-Stop:   
# Default-Start: 2 3 4 5   
# Default-Stop: 0 1 6   
# Short-Description: start and stop iptables firewall   
# Description: Start, stop and save iptables firewall   
### END INIT INFO   
         
# Source function library.   
. /etc/init.d/functions   
         
IPTABLES=iptables                                       #变量IPTABLES   
IPTABLES_DATA=/etc/sysconfig/$IPTABLES                  #变量IPTABLES_DATA=/etc/sysconfig/iptables   
IPTABLES_CONFIG=/etc/sysconfig/${IPTABLES}-config       #变量IPTABLES+CONFIG=/etc/sysoncifg/iptables-config   
IPV=${IPTABLES%tables} # ip for ipv4 | ip6 for ipv6     #变量IPV,${IPTABLES%tables},将上一个变量IPTABLES的tables字符串删除   
[ "$IPV" = "ip" ] && _IPV="ipv4" || _IPV="ipv6"         #如IPV=ip就执行_IPV=ipv4否则就执行_IPV=ipv6   
PROC_IPTABLES_NAMES=/proc/net/${IPV}_tables_names       #变量PROC_IPTABLES_NAMES=/proc/net/${IPV}_tables_names 查看 /proc/net/有如下文件   
#ls /proc/net/ip*   
#/proc/net/ip6_flowlabel  /proc/net/ip6_mr_vif   /proc/net/ip_mr_vif          /proc/net/ip_tables_names    /proc/net/ipv6_route /proc/net/ip6_mr_cache   /proc/net/ip_mr_cache  /proc/net/ip_tables_matches  /proc/net/ip_tables_targets   
         
VAR_SUBSYS_IPTABLES=/var/lock/subsys/$IPTABLES          #变量VAR_SUBSYS_IPTABLES设置状态锁文件   
         
# only usable for root   
[ $EUID = 0 ] || exit 4                                 #判断是否是root用户,否则退出状态为4   
         
if [ ! -x /sbin/$IPTABLES ]; then                       #判断/sbin/iptables不存在,就显示下面的警告信息   
    echo -n $"${IPTABLES}: /sbin/$IPTABLES does not exist."; warning; echo   
    exit 5                                              #退出状态为5   
fi   
         
# Old or new modutils   
/sbin/modprobe --version 2>&1 | grep -q module-init-tools    
    && NEW_MODUTILS=1    
    || NEW_MODUTILS=0   
         
# Default firewall configuration:   
IPTABLES_MODULES=""
IPTABLES_MODULES_UNLOAD="yes"
IPTABLES_SAVE_ON_STOP="no"
IPTABLES_SAVE_ON_RESTART="no"
IPTABLES_SAVE_COUNTER="no"
IPTABLES_STATUS_NUMERIC="yes"
IPTABLES_STATUS_VERBOSE="no"
IPTABLES_STATUS_LINENUMBERS="yes"
         
# Load firewall configuration.   
[ -f "$IPTABLES_CONFIG" ] && . "$IPTABLES_CONFIG"  #判断是否存在/etc/sysoncifg/iptables-config   
         
# Netfilter modules   
NF_MODULES=($(lsmod | awk "/^${IPV}table_/ {print $1}") ${IPV}_tables)   
# 查看启动iptables加载的模块,当iptables用此脚本停止时,模块是没有加载的   
#----#lsmod|awk "/^iptable_/ {print $1}" $ip_tables----   
#---iptable_filter-------------------------------------   
#---iptable_nat----------------------------------------   
         
NF_MODULES_COMMON=(x_tables nf_nat nf_conntrack) # Used by netfilter v4 and v6   
         
# Get active tables   
NF_TABLES=$(cat "$PROC_IPTABLES_NAMES" 2>/dev/null)   
#查看系统加载的iptables模块   
#--------- #cat /proc/net/ip_tables_names---------       
#---------filter----------------------------------   
#---------nat-------------------------------------   
         
         
rmmod_r() {    
    # Unload module with all referring modules.   
    # At first all referring modules will be unloaded, then the module itself.   
    local mod=$1  #定义一个局部变量mod=$1   
    local ret=0   #定义一个局部变量ret=0   
    local ref=    #定义一个局部变量ref
         
    # Get referring modules.   
    # New modutils have another output format.   
    [ $NEW_MODUTILS = 1 ]    
        && ref=$(lsmod | awk "/^${mod}/ { print $4; }" | tr ',' ' ')    
        || ref=$(lsmod | grep ^${mod} | cut -d "[" -s -f 2 | cut -d "]" -s -f 1)   
#如果NEW_MODUTILSd的值1,即判断modprobe --version|grep -q module-init-tools成功,   
#lsmod打印第4列,显示出模块的内容,并将显示出的,全部删除   
#如果NEW_MODUTILSd的值0,就执行后面   
         
         
# recursive call for all referring modules   
    for i in $ref; do
        rmmod_r $i     
        let ret+=$?;   
    done   
#删除已经加载的iptables模块   
         
    # Unload module.   
    # The extra test is for 2.6: The module might have autocleaned,   
    # after all referring modules are unloaded.   
    if grep -q "^${mod}" /proc/modules ; then #查看iptables的模块   
        modprobe -r $mod > /dev/null 2>&1     #modprobe -r删除存在的iptables模块    
        res=$?                                #查看状态   
        [ $res -eq 0 ] || echo -n " $mod"     #执行成功,显示内容   
        let ret+=$res;   
    fi   
         
    return $ret   
    #===========================================#   
cat /proc/modules |grep ip   
iptable_filter 2759 0 - Live 0xffffffffa02e1000   
iptable_nat 6124 1 - Live 0xffffffffa029b000   
nf_nat 22788 1 iptable_nat, Live 0xffffffffa02d1000   
nf_conntrack_ipv4 9440 3 iptable_nat,nf_nat, Live 0xffffffffa0286000   
nf_conntrack 79643 3 iptable_nat,nf_nat,nf_conntrack_ipv4, Live 0xffffffffa02b0000   
nf_defrag_ipv4 1449 1 nf_conntrack_ipv4, Live 0xffffffffa0257000   
ip_tables 17765 2 iptable_filter,iptable_nat, Live 0xffffffffa02a9000   
ipv6 322899 74 - Live 0xffffffffa01ab000   
#====================================================#   
         
             
}   
         
flush_n_delete() {   
    #情况默认策略   
    # Flush firewall rules and delete chains.   
    [ ! -e "$PROC_IPTABLES_NAMES" ] && return 0   
#如果不存在/proc/net/ip_tables_names,则返回为0   
         
    # Check if firewall is configured (has tables)   
    [ -z "$NF_TABLES" ] && return 1   
#如果存在 cat /proc/net/ip_tables_names显示出来的内容,返回为1   
         
    echo -n $"${IPTABLES}: Flushing firewall rules: "
#显示      
    ret=0   
    # For all tables   
    for i in $NF_TABLES; do
        # Flush firewall rules.   
        $IPTABLES -t $i -F;   
        let ret+=$?;   
         
        # Delete firewall chains.   
        $IPTABLES -t $i -X;   
        let ret+=$?;   
         
        # Set counter to zero.   
        $IPTABLES -t $i -Z;   
        let ret+=$?;   
    done   
#将所有iptables表执行-F -X -Z的操作   
         
    [ $ret -eq 0 ] && success || failure   
    echo   
    return $ret   
}   
         
set_policy() {   
    # Set policy for configured tables.   
    policy=$1   
         
    # Check if iptable module is loaded   
    [ ! -e "$PROC_IPTABLES_NAMES" ] && return 0   
#如果不存在/proc/net/ip_tables_names,则返回为0   
         
    # Check if firewall is configured (has tables)   
    tables=$(cat "$PROC_IPTABLES_NAMES" 2>/dev/null)   
    #如果存在 cat /proc/net/ip_tables_names显示出来的内容,赋值给tables变量   
    [ -z "$tables" ] && return 1   
    #tables变量是否有值,无值返回1   
         
    echo -n $"${IPTABLES}: Setting chains to policy $policy: "
    ret=0   
    for i in $tables; do
        echo -n "$i "
        case "$i" in
            raw)   
                $IPTABLES -t raw -P PREROUTING $policy    
                    && $IPTABLES -t raw -P OUTPUT $policy    
                    || let ret+=1   
                ;;   
            filter)   
                $IPTABLES -t filter -P INPUT $policy    
                    && $IPTABLES -t filter -P OUTPUT $policy    
                    && $IPTABLES -t filter -P FORWARD $policy    
                    || let ret+=1   
                ;;   
            nat)   
                $IPTABLES -t nat -P PREROUTING $policy    
                    && $IPTABLES -t nat -P POSTROUTING $policy    
                    && $IPTABLES -t nat -P OUTPUT $policy    
                    || let ret+=1   
                ;;   
            mangle)   
                $IPTABLES -t mangle -P PREROUTING $policy    
                    && $IPTABLES -t mangle -P POSTROUTING $policy    
                    && $IPTABLES -t mangle -P INPUT $policy    
                    && $IPTABLES -t mangle -P OUTPUT $policy    
                    && $IPTABLES -t mangle -P FORWARD $policy    
                    || let ret+=1   
                ;;   
            *)   
                let ret+=1   
                ;;   
        esac   
    done   
         
    [ $ret -eq 0 ] && success || failure   
    echo   
    return $ret   
    #以上命令为执行各表的策略设置   
}   
         
start() {   
    # Do not start if there is no config file.   
    [ ! -f "$IPTABLES_DATA" ] && return 6   
#如果/etc/sysconfig/iptables不存在,返回值为6   
         
    # check if ipv6 module load is deactivated   
    if [ "${_IPV}" = "ipv6" ]    
        && grep -qIsE "^install[[:space:]]+${_IPV}[[:space:]]+/bin/(true|false)" /etc/modprobe.conf /etc/modprobe.d/* ; then   
        echo $"${IPTABLES}: ${_IPV} is disabled."
        return 150   
    fi   
#检查ipv6模块是否加载   
    echo -n $"${IPTABLES}: Applying firewall rules: "
         
    OPT=   
    [ "x$IPTABLES_SAVE_COUNTER" = "xyes" ] && OPT="-c"
         
    $IPTABLES-restore $OPT $IPTABLES_DATA   
    #执行iptables-restore /etc/sysconfig/iptables恢复iptables设置的策略   
    if [ $? -eq 0 ]; then   
        success; echo   
    else
        failure; echo; return 1   
    fi   
    #判断是否执行成功,并显示状态   
         
    # Load additional modules (helpers)   
    if [ -n "$IPTABLES_MODULES" ]; then   
        echo -n $"${IPTABLES}: Loading additional modules: "
        ret=0   
        for mod in $IPTABLES_MODULES; do
            echo -n "$mod "
            modprobe $mod > /dev/null 2>&1   
            let ret+=$?;   
        done   
    #加载iptables模块   
        [ $ret -eq 0 ] && success || failure   
        echo   
    fi   
             
    touch $VAR_SUBSYS_IPTABLES   
    #建立状态文件锁=/var/lock/subsys/iptables   
    return $ret   
}   
         
stop() {   
    # Do not stop if iptables module is not loaded.   
    [ ! -e "$PROC_IPTABLES_NAMES" ] && return 0   
#不存在/proc/net/ip_tables_names   
    flush_n_delete   
    set_policy ACCEPT   
             
    if [ "x$IPTABLES_MODULES_UNLOAD" = "xyes" ]; then   
        echo -n $"${IPTABLES}: Unloading modules: "
        ret=0   
        for mod in ${NF_MODULES[*]}; do
            rmmod_r $mod   
            let ret+=$?;   
        done   
    #卸载iptables模块   
        # try to unload remaining netfilter modules used by ipv4 and ipv6    
        # netfilter   
        for mod in ${NF_MODULES_COMMON[*]}; do
            rmmod_r $mod >/dev/null
        done   
        [ $ret -eq 0 ] && success || failure   
        echo   
    fi   
             
    rm -f $VAR_SUBSYS_IPTABLES   
    return $ret   
}   
         
save() {   
    # Check if iptable module is loaded   
    [ ! -e "$PROC_IPTABLES_NAMES" ] && return 0   
#不存在在/proc/net/ip_tables_names,返回0   
    # Check if firewall is configured (has tables)   
    [ -z "$NF_TABLES" ] && return 6   
#是否存在   
    echo -n $"${IPTABLES}: Saving firewall rules to $IPTABLES_DATA: "
         
    OPT=   
    [ "x$IPTABLES_SAVE_COUNTER" = "xyes" ] && OPT="-c"
         
    ret=0   
    TMP_FILE=$(/bin/mktemp -q $IPTABLES_DATA.XXXXXX)    
        && chmod 600 "$TMP_FILE"   
        && $IPTABLES-save $OPT > $TMP_FILE 2>/dev/null   
    #iptables-save -c > 保存到文件   
        && size=$(stat -c '%s' $TMP_FILE) && [ $size -gt 0 ]    
        || ret=1#判断文件是否为空   
    if [ $ret -eq 0 ]; then   
        if [ -e $IPTABLES_DATA ]; then   
            cp -f $IPTABLES_DATA $IPTABLES_DATA.save  #将/etc/sysconfig/iptables备份为iptables.save   
                && chmod 600 $IPTABLES_DATA.save    #更改/etc/sysconfig/iptables权限为600   
                && restorecon $IPTABLES_DATA.save   #更改/etc/sysconfig/iptables的selinux   
                || ret=1   
        fi   
        if [ $ret -eq 0 ]; then   
            mv -f $TMP_FILE $IPTABLES_DATA    
                && chmod 600 $IPTABLES_DATA    
                && restorecon $IPTABLES_DATA    
                || ret=1   
        fi   
    fi   
    rm -f $TMP_FILE   
    [ $ret -eq 0 ] && success || failure   
    echo   
    return $ret   
}   
         
status() {   
    if [ ! -f "$VAR_SUBSYS_IPTABLES" -a -z "$NF_TABLES" ]; then   
        echo $"${IPTABLES}: Firewall is not running."
        return 3   
    fi   
    #查看文件状态锁是否存在   
         
    # Do not print status if lockfile is missing and iptables modules are not    
    # loaded.   
    # Check if iptable modules are loaded   
    if [ ! -e "$PROC_IPTABLES_NAMES" ]; then   
        echo $"${IPTABLES}: Firewall modules are not loaded."
        return 3   
    fi   
#   
    # Check if firewall is configured (has tables)   
    if [ -z "$NF_TABLES" ]; then   
        echo $"${IPTABLES}: Firewall is not configured. "
        return 3   
    fi   
         
    NUM=   
    [ "x$IPTABLES_STATUS_NUMERIC" = "xyes" ] && NUM="-n"
    VERBOSE=    
    [ "x$IPTABLES_STATUS_VERBOSE" = "xyes" ] && VERBOSE="--verbose"
    COUNT=   
    [ "x$IPTABLES_STATUS_LINENUMBERS" = "xyes" ] && COUNT="--line-numbers"
         
    for table in $NF_TABLES; do
        echo $"Table: $table"
        $IPTABLES -t $table --list $NUM $VERBOSE $COUNT && echo   
    done   
         
    return 0   
}   
         
restart() {   
    [ "x$IPTABLES_SAVE_ON_RESTART" = "xyes" ] && save   
    stop   
    start   
}   
         
         
case "$1" in
    start)   
        [ -f "$VAR_SUBSYS_IPTABLES" ] && exit 0   
        start   
        RETVAL=$?   
        ;;   
    stop)   
        [ "x$IPTABLES_SAVE_ON_STOP" = "xyes" ] && save   
        stop   
        RETVAL=$?   
        ;;   
    restart|force-reload)   
        restart   
        RETVAL=$?   
        ;;   
    reload)   
        # unimplemented   
        RETVAL=3   
        ;;   
    condrestart|try-restart)   
        [ ! -e "$VAR_SUBSYS_IPTABLES" ] && exit 0   
        restart   
        RETVAL=$?   
        ;;   
    status)   
        status   
        RETVAL=$?   
        ;;   
    panic)   
        flush_n_delete   
        set_policy DROP   
        RETVAL=$?   
        ;;   
    save)   
        save   
        RETVAL=$?   
        ;;   
    *)   
        echo $"Usage: ${IPTABLES} {start|stop|restart|condrestart|status|panic|save}"
        RETVAL=2   
        ;;   
esac   
         
exit $RETVAL   
         
附录   
lsmod命令   
第1列:表示模块的名称。   
第2列:表示模块的大小。   
第3列:表示依赖模块的个数。   
第4列:表示依赖模块的内容。

转载请注明文章转自:良玉的博客 [ http://blog.uouo123.com ]
向良玉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
iptables配置脚本_iptables配置脚本.sh_
10-02
最基础的iptables配置脚本,一键加固Linux防火墙
iptables防火墙详解(三)规则的导出、导入以及编写防火墙脚本
weixin_34050427的博客
08-06 350
在前面的文章中我们已经学习了如何编写一些简单的防火墙规则了,但是这些规则只是临时生效的,当防火墙关闭或者服务器关机,重启之后所有的规则将会清空。因此我需要将编写好的防火墙规则保存下来,以便在防火墙关闭或重新启动系统后,防火墙规则还可以使用,而不需要再次编写。iptables规则的导出、导人防火墙规则的批量备份,还原需要用到两个命令iptables-save、iptables-...
Docker启动失败报错Failed to start Docker Application Container Engine解决方案
热门推荐
五维空间
04-10 4万+
在给一台腾讯云机器安装docker后发现无法启动,总是报错Failed to start Docker Application Container Engine,解决思路分享一下,以免各位童鞋踩坑。 1 安装Docker 说明:本文仅针对Linux CentOS 7环境下进行讲解,Mac版本请在官方下载Docker.dmg安装(留意:Macbook 没有yum、systemctl、service等Linux系统的命令,建议下载dmg桌面版Docker使用、配置方便。当然也可以brew install
iptables的NAT功能设置和linux升级内核后遇到 can't initialize iptables table `nat': Table does not exist 问题
yandaqijian的专栏
03-17 1万+
如何使用iptables的NAT功能把红帽企业版Linux作为一台路由器使用? 方法: 提示: 以下方法只适用于红帽企业版Linux 3 以上。 1、打开包转发功能: echo "1" > /proc/sys/net/ipv4/ip_forward 2、修改/etc/sysctl.conf文件,让包转发功能在系统启动时自动生效: # Contro
linux iptables 脚本
yanhui007的专栏
05-11 621
#!/bin/sh # # iptables Start iptables firewall # # chkconfig: 2345 08 92 # description: Starts, stops and saves iptables firewall # # config: /etc/sysconfig/iptables # config: /etc/sysconfig/iptables-config # ### BEGIN INIT INFO # Provides: iptables ...
解决 crontab iptables command not found (iptables 无法使用)的问题
qq_36588424的博客
10-27 4116
结果发现报错:iptables command not found其实看到了这个错误老王就想到应该是 bash 和 sh 的问题,因为之前老王出现过crontab 任务中 Shell 脚本 for 循环不生效的问题原因与解决。
Shell实现的iptables管理脚本分享
09-15
主要介绍了Shell实现的iptables管理脚本分享,本文脚本实现了添加、删除、查看、停止、启动等,需要的朋友可以参考下
web服务器iptables配置脚本实现代码
09-15
主要介绍了web服务器iptables配置脚本实现代码的相关资料,需要的朋友可以参考下
一键配置CentOS iptables防火墙的Shell脚本分享
09-15
主要介绍了一键配置CentOS iptables防火墙Shell脚本分享,可保存到一个脚本文件中,在新安装的CentOS系统时一条命令搞定iptables配置,需要的朋友可以参考下
Shell脚本实现监控iptables运行状态
09-15
主要介绍了Shell脚本实现监控iptables运行状态,本文直接给出实现代码,需要的朋友可以参考下
编译安装新版本iptables
qq839534800的博客
03-07 1551
编译安装新版本iptables 备份原iptables比较重要的一些文件 [root@mail ~]# cp /etc/init.d/iptables /root/ [root@mail ~]# cp /etc/sysconfig/iptables-config /root/ 卸载原iptables [root@mail ~]# service iptables stop [root@mail ~...
linux防火墙应用网关,Linux网关防火墙简单版本
weixin_33644009的博客
05-12 80
#!bin/shIFCONFIG=/sbin/ifconfigIP=/sbin/ipIPTABLES=/sbin/iptablesif [ ! -x $IFCONFIG ]; thenecho "$IFCONFIG does not exist."exit 1fiif [ ! -x $IP ]; thenecho "$IP does not exist."exit 1fiif [ ! -x $IP...
linuxiptables失效解决方法
weixin_30248399的博客
07-31 1710
1、首先查看iptables配置文件:cat/etc/sysconfig/iptables 2、然后查看 iptables 配置文件是否生效:iptables -L,结果如下,很显然和上面的配置文件不匹配,证明防火墙是没有生效的 3、使iptables加载配置文件中的配置生效:输入/usr/sbin/iptables-restore /etc/...
iptables配置文件不存在
qq_43533665的博客
03-02 1603
问题 当你需要修改iptables配置是却发现该文件不存在 解决 (1)先检测是否安装了iptables service iptables status 没有就安装 yum install -y iptables 有就更新 yum update iptables (2)安装iptables-services yum install iptables-services (3)初始化配置文件 ...
CDH安装错误集锦
weixin_42733888的博客
06-13 932
CDH安装过程中出现的错误 1、iptables: /sbin/iptables 不存在 我是因为误删将 /sbin/下的文件删除了。 解决方法: yum install iptables 2、com.mysql.jdbc.execptions.jdbc4.CommunicationsException:Communication link failure 连接MySQL 的驱动包找不到。 解决方...
查看iptables内建表名称
雜貨鋪
05-05 1851
# cat /proc/net/ip_tables_names nat mangle filter
IPtables服务器配置与管理
wwxxss
11-18 1276
其中表是按照对数据包的操作区分的,链是按照不同的 Hook 点来区分的,表和链实际上是netilter的两个维度。4个表:flter,nat,mangle,raw,默认表是 filter(没有指定表的时候就是filter表)。filter:一般的过滤功能。Raw:优先级最高,设置raw时一般是为了不再让 iptables 做数据包的链接跟踪处理,提高性能。iptables -A INPUT -p icmp --icmp-type 8 -j DROP ,将添加的规则保存到文件中。查看iptables服务。
iptables启动
最新发布
08-12
启动iptables,您可以使用以下命令:<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_title] - *1* [iptables防火墙的启动、停止以及开启关闭端口的操作]...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

向良玉

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值