使用python-iptables库设置linux防火墙权限,只允许特定ip访问指定端口,通过web服务二次验证

已于 2022-01-18 17:47:00 修改
阅读量3.9k 收藏 10
点赞数 1
文章标签: linux python tcp/ip
于 2022-01-15 21:57:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shenkunchang1877/article/details/122516364
版权

背景:

        某天周末开着黑,打着游戏,吹着牛逼,突然就被一条消息给打断了。。。

经过分析发现可能是因为服务器账号密码设置太简单,实验室服务器使用frp后,被人下了挖矿脚本cnrig xmrig占用了全部。所以只能连夜迁移数据并重装系统(因为怕留后门,怕以后服务器上大量的数据被人删掉或者被勒索),痛定思痛决定给服务器加上二次验证,只允许指定ip来访问端口,避免不正常的ip来扫描我的端口,花了一天时间写个通过iptables进行验证的小程序。(其实肯定有大佬想到了,为啥不手动在服务器上添加允许访问的ip,首先服务器不是我的,是师弟的,万一我临时换了地点需要用的时候就麻烦了,流程:通知我师弟->师弟找台电脑->登录控制台->添加放行的ip和端口,任一环节出现问题我就用不到)

同时完整代码和程序也发布到了github:(flask部分已经添加上去了,配置应该就可以用了)GitHub - wu8320175/python-iptables-: 使用python-iptables 做服务器指定端口访问二次验证

实现的功能如下:

1. 指定的端口,首先所有ip都不能访问,然后根据web服务验证的结果允许该ip来访问指定端口。

2.将以上功能封装成web服务,先在网页端通过 二级密码 来允许当前ip的访问服务器,当前ip才能访问目的ip和端口,比如ssh服务,http等。

给个图示:(以下只是我定义的各种名词,专业大佬轻喷,这只是迎合我现在的需求做的)

  

使用工具:

               Python,python-iptables库,flask (用于web服务)

原因:跑实验一直用的python,熟悉且简单,网上一搜关于python的linux访问端口控制,巧了人家有现成的对iptables控制的包。然后是WEB服务,还好之前学过一点,php,django啥的前后端还算会用,最后挑了flask,搭个服务更简单,只需要装个包就行,都不需要额外的服务器配置,美滋滋。

首先python-iptables库安装和使用

pip install --upgrade python-iptables

参考:

Python iptc库 修改iptables规则_sinat_27690807的博客-CSDN博客_iptc python

然后是官方网站:GitHub - ldx/python-iptables: Python bindings for iptables

#
import iptc
# 增删改查
table='filter'
chain='INPUT'


#初始拒绝所有对该端口的访问
def init_port(port):
    #先禁止所有对指定端口的访问
    if find_reject_port(port) is None:
        rule_d = {'protocol': 'tcp', 'target': 'REJECT', 'tcp': {'dport': port}}
        iptc.easy.insert_rule(table,chain,rule_d)
        return True
    return False

#查找对应端口是否已经设置禁止访问
def find_reject_port(port):
    for i in iptc.easy.dump_chain(table,chain):
        if 'src' not in i:
            if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:
                return i
    return None

#删除对应的端口的禁止权限,并清除该端口下的所有ip
def delete_reject_port(port):
    res=find_reject_port(port)
    if res is not None:
        #清除端口
        iptc.easy.delete_rule(table,chain,res)
        #清除该端口下的所有ip
        for i in iptc.easy.dump_chain(table,chain):
            if 'src' not in i:
                if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:
                    iptc.easy.delete_rule(table,chain,i)
        return True
    return False

#添加ip和指定端口  允许该ip访问该端口
def add_ip(ip,port):
    if find_ip(ip,port) is None:
        rule_d = {'protocol': 'tcp','src':ip, 'target': 'ACCEPT', 'tcp': {'dport': port}}
        iptc.easy.insert_rule(table,chain,rule_d)
        return True
    return False

#查找指定ip和端口
def find_ip(ip,port):
    for i in iptc.easy.dump_chain(table,chain):
        if 'src' in i and ip in i['src']:
            if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:
                return i
    return None

#查找某ip下设置的所有端口
def find_all_ip_ports(ip):
    port_list=[]
    for i in iptc.easy.dump_chain(table,chain):
        if 'src' in i and ip in i['src']:
            if 'tcp' in i and 'dport' in i['tcp']:
                port_list.append(i['tcp']['dport'])
    return port_list

#删除对应ip和端口,禁止该ip访问对应端口
def delete_ip(ip,port):
    res=find_ip(ip,port)
    if res is not None:
        iptc.easy.delete_rule(table,chain,res)
        return True
    return False

#将某ip允许访问的端口设置为另一个端口
def update_ip_port(ip,raw_port,des_port):
    delete_ip(ip,raw_port)
    add_ip(ip,des_port)

#检测端口是否合法,并且只允许在low-high的范围
import re
value = re.compile(r'^\d+?$')
def check_port(port,low,high):
    #low,high  限制端口的范围
    if not isinstance(port,str):
        port=str(port)
    result = value.match(port)
    if result and low<=int(port) and int(port)<=high:
        return port
    else:
        return None

# 检查当前设置的port是否在port_list内
def check_port_list(port,port_list):
    if not isinstance(port,str):
        port=str(port)
    result = value.match(port)

    if result and int(port) in port_list:
        return port
    else:
        return None

使用示例example: 

#先检查端口是否合法
if check_port('6001',6000,7000):
    #you code here
    pass

#初始化指定端口 拒绝所有访问
init_port("6001")
#删除6001的端口的拒绝访问
# delete_reject_port('6001')

#只允许'192.168.0.1' 访问6001端口
add_ip('192.168.0.1','6001')

#只允许'192.168.0.2' 访问6001端口
add_ip('192.168.0.2','6001')

# 禁止'192.168.0.2' 访问6001端口
delete_ip('192.168.0.2','6001')
#...随意发挥

。。。接下来是flask部分,通过flask写了一个web通过口令来放行对应端口,如果其他读者有兴趣的话,我接着写。

新版增加点样式好看点。。。

5jerry
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux使用iptables限制多个IP访问你的服务器
09-15
iptables是一个管理netfilter的工具。这篇文章主要介绍了Linux使用iptables限制多个IP访问你的服务器的相关知识,需要的朋友可以参考下
Python iptc 修改iptables规则
sinat_27690807的博客
04-22 2190
记录一下如何使用python语言的iptc进行linux系统iptables防火墙规则增删查改。
Python自动化运维之iptables和安全概述
不一样的花朵的博客
08-21 681
1 安全知识体系 1.1 安全概述【了解】 1.1.1 安全现状 1.1.2 安全体系 底层硬件 买质量合格的设备 基础环境 版本合适,基本系统优化 应用环境 软件版本、配置参数、等 业务环境 项目和软件之间的配置、部门间的规范执行 运营维护 功能迭代方案、网站维护 1.1.3 安全措施 1.2 防火墙基础【了解】 1.2.1 防火墙简介 分类: 功能: 主机、网络 实现: 软件、硬件 细节: 包过滤、应用网关、应用状态、复合型
Linux设置防火墙,只允许特定IP访问指定端口
最新发布
专注于Linux运维相关领域
06-05 531
服务器A使用端口1521,只有允许指定IP应用才可以访问,其它未经允许服务器ip地址无法正常访问
宝塔上限制国内IP访问你的网站
Yafully
10-24 9579
某些个网站是不需要国内用户访问的,主要是为了保证营销的数据准确性和防止同行抄袭。当然是没办法彻底屏蔽的,防小人不防君子吧。我用的是Nginx,请对号入座: 首先我们要去弄到国内的IP地址段,访问网站http://www.ip2location.com/free/visitor-blocker ,点击左侧的“Firewall List by Country”选项卡。 点击下载ip文件,顺便...
讲解Windows系统中如何使用Python读取图片的元数据【Metadata】
KRISNAT
10-16 1302
我们可以使用pyexiv2这个Python第三方工具在Windows系统中包读取图片文件的元数据Metadata。其中,经常会使用的图片元数据一般是有关图片格式的EXIF😄和版权的IPTC数据😄。此篇博客介绍了pyexiv2的安装和基本使用方法,并提供了Python代码示例。当然,pillow也可以查看图片的元数据,文中也直接给出了pillow查看图片元数据的代码示例。😆😆
[运维] iptables限制指定ip访问指定端口和只允许指定ip访问指定端口
热门推荐
梦醒贰零壹柒
06-07 1万+
iptables
iptables配置防火墙设置IP通过
weixin_50822535的博客
04-21 1892
设置通过IP(假设IP为1.1.1.1)# 安装iptables-services。1.先检查是否安装了iptables。# 设置 iptables 开机启动。如果需要全新的规则可以删除之前的规则。设置远程22端口允许堡垒机访问。# 停止 firewalld。# 禁用 firewalld。如果没安装就进行安装进行。# 安装iptables。安装好了查看已有的规则。或者对已建立的链接放行。
iptables防火墙允许指定ip连接指定端口访问指定网站.docx
09-26
iptables防火墙允许指定ip连接指定端口访问指定网站.docx
Linux-防火墙iptables基本命令、常用端口的开放阻止删除.docx
07-19
Linux--防火墙iptables基本命令、常用端口的开放阻止删除.docx
iptables 简单设置指定端口访问权限.docx
07-22
iptables 简单设置指定端口访问权限新增,删除规则等
利用iptables来配置linux禁止所有端口登陆和开放指定端口
weixin_33727510的博客
11-09 3787
1、关闭所有的 INPUT FORWARD OUTPUT 只对某些端口开放。 下面是命令实现: iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP 再用命令 iptables -L -n 查看 是否设置好, 好看到全部 DROP 了 这样的设置好了,我们只是临时的, 重...
chatgpt赋能pythonPythonIP端口获取数据
turensu的博客
06-01 1076
IP地址是Internet上用于唯一标识设备的地址,它由四个数字(255以下)组成,每个数字用点分隔。例如:“192.168.1.1”。端口是设备上用于识别特定进程的数字。一台设备可以同时具有多个进程在运行,每个进程都需要使用不同的端口。例如,Web服务器一般使用端口号“80”。本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT。
firewalld 设置规则只允许指定ip访问指定端口 —— 筑梦之路
筑梦之路
03-01 6684
需要让192.168.100.102可以访问101机器的80端口,192.168.100.100不允许访问101的80端口。192.168.100.101 开启防火墙firewalld,上面有web服务nginx,监听80端口。2.配置防火墙规则,限制指定ip-192.168.100.102访问指定端口80。现有三台机器,系统都是centos7。1.查看101上当前防火墙规则。3.防火墙规则设置扩展内容。关键点:移除现有的规则。如何设置防火墙规则?
如何拒绝国外IP/屏蔽国外IP访问服务器?
ranriqing的博客
09-14 1万+
拒绝国外IP/屏蔽国外IP访问服务器; Ipset模块,全面提升服务器安全;
【Django】Django实现对IP地址访问过滤
xmy7007的博客
04-25 320
【Django】Django实现对IP地址访问过滤 一、编写中间件 在setting.py同目录下新建middleware.py,内容如下 from django.http import HttpResponse from django.utils.deprecation import MiddlewareMixin class IpMiddleware(MiddlewareMixin): def process_view(self, request, view_func, *view_args, *
python iptables
pingnanlee的专栏
12-14 7956
python是很强大,其中很大一部分的原因是python具有丰富的支撑,比如我们想实现一个自己控制防火墙的功能来完成某些特定的功能需要,我们就可以使用pythoniptables来很轻松的实现对iptables规则的管理。具体的文档可以参考如下:python iptables 下面来看一个具体的列子吧,基于rpc实现了一个对外接口,可以远程添加iptables规则,另外还有一个周期性调度的功
iptables允许指定网段ip访问
weixin_35753431的博客
01-18 3476
可以使用 iptables 规则限制指定网段的 IP 地址访问。示例如下: iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT iptables -A INPUT -j DROP 第一行允许来自 192.168.0.0/24 网段的 IP 地址访问。第二行拒绝其他所有 IP 地址的访问。 注意:此规则应在其他规则之前执行,以确保其生效。 ...
django 网站 允许特定地址请求
养柱
06-08 349
url 路径 # 测试 path('test/', views.Test), 视图 def Test(request): if request.method == 'POST': chenck = check_host(request.get_host()) return HttpResponse(chenck) def check_host(host): if host == '127.0.0.1:8000': ...
linux防火墙允许dns服务,安全的iptables防火墙配置(只开通SSH,WEB,DNS服务)
06-03
好的,以下是一份基于 iptables 的安全防火墙配置规则,仅允许 SSH、WEB 和 DNS 服务通过: ```bash # 清空所有规则链中的规则 iptables -F # 允许回环接口 lo 的所有流量通过 iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT # 允许 SSH 流量通过 iptables -A INPUT -p tcp --dport 22 -j ACCEPT # 允许 HTTP 和 HTTPS 流量通过 iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p tcp --dport 443 -j ACCEPT # 允许 DNS 流量通过(tcp和udp) iptables -A INPUT -p udp --dport 53 -j ACCEPT iptables -A INPUT -p tcp --dport 53 -j ACCEPT # 丢弃所有其他流量 iptables -A INPUT -j DROP iptables -A FORWARD -j DROP ``` 这个规则只允许回环接口、SSH、HTTP/HTTPS、DNS 服务通过,其他所有流量都会被丢弃。请注意,这个配置只是一个基础防护,你应该根据自己的实际情况修改或补充规则。同时,为了避免误操作导致无法连接服务器,建议在配置 iptables 之前备份原有配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值