Python iptc库 修改iptables规则

最新推荐文章于 2025-02-12 15:55:54 发布
最新推荐文章于 2025-02-12 15:55:54 发布
阅读量2.6k 收藏 3
点赞数
分类专栏: 运维 文章标签: python linux iptables
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_27690807/article/details/115999838
版权
本文介绍了如何使用Python的iptc库在Linux系统中安装、配置和管理iptables防火墙规则,包括目的/源地址、端口、TCP标记、TCP状态以及创建新规则链的操作,并给出了详细的代码示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

由于需要对iptables规则进行修改,百度了好久iptc,结果只有很少的帖子,然后到Stack Overflow上搜了iptc,在一堆IPTC数据中翻到了几个相关的帖子,并发现在github上有iptc库。
那么现在就来记录一下如何使用python语言的iptc库进行linux系统iptables防火墙规则增删查改。

安装iptc库

首先需要在linux系统中加载iptc库:

pip install --upgrade python-iptables # 或pip3

前置要求安装python3和pip3

yum install -y epel-release
yum install -y openssl-devel bzip2-devel expat-devel gdbm-devel readline-devel zlib-devel
yum install -y python3 python3-devel
pip3 install --upgrade pip
yum install -y gcc libffi-devel python-devel

错误提示:
/usr/include/bits/errno.h:24:26: fatal error: linux/errno.h: No such file or directory
解决方法:

wget http://mirror.centos.org/centos/7/os/x86_64/Packages/kernel-headers-3.10.0-1160.el7.x86_64.rpm
rpm -ivh kernel-headers-3.10.0-957.el7.x86_64.rpm

基础配置

研究了一下github上iptc库的范例,了解到使用iptc库进行iptables基本需要新建一个rule并指定table和chain,然后通过match设置rule中各项参数的值,添加到rule中,最后将rule插入到iptables中。
重点:iptc库的所有参数都是字符串模式

简单规则之目的/源地址

我们首先来建立一个非常简单的iptables规则链:
阻止来自固定地址的链接:
iptables -A INPUT -s 192.168.0.7 -j DROP

import iptc
# 设定要操作的规则表,NAT\FILTER\RAW\MANGLE
# 设定要操作的规则链,INPUT\OUTPUT\FORWARD\PREROUTING\POSTROUTING
table = iptc.Table(iptc.Table.FILTER)
chain = iptc.Chain(table, "INPUT")

# 设定规则
rule = iptc.Rule()
rule.src = "192.168.0.7/255.255.255.0"

# 设定匹配
# match = iptc.Match(rule,"tcp")
# rule.match = match

# 设定目标
target = iptc.Target(rule, "DROP")
rule.target = target

chain.insert_rule(rule)

运行结果为:

[root@bogon python]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.0.0/24       anywhere            
# 下略

在iptc库设定中,目的地址和源地址都由rule的dst和src字段设置,甚至通过dst_range/src_range字段来设置目的地址段/源地址段,例如:

rule.dst_range = "192.168.0.200-192.168.0.233"
rule.src_range = "192.168.0.1"

简单规则之目的/源端口

允许来自固定端口或访问固定端口的链接:
iptables -A INPUT -sport 80 -dport 80 -j ACCEPT
端口配置规则是位于协议规则之下的,因此需要先配置协议

import iptc
# 设定要操作的规则表,NAT\FILTER\RAW\MANGLE
# 设定要操作的规则链,INPUT\OUTPUT\FORWARD\PREROUTING\POSTROUTING
table = iptc.Table(iptc.Table.FILTER)
chain = iptc.Chain(table, "INPUT")

# 设定规则
rule = iptc.Rule()
rule.protocol = "tcp"

# 设定匹配
match = iptc.Match(rule,"tcp")
match.sport = "80"
match.dport = "80"
rule.add_match(match)

# 设定目标
target = iptc.Target(rule, "ACCEPT")
rule.target = target

chain.insert_rule(rule)

运行结果为:

[root@bogon python]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp spt:http dpt:http
# 下略

成功配置允许发送端口和接受端口均为80端口的TCP数据包进入服务器的规则。

简单规则之TCP标记

允许来自固定端口或访问固定端口的链接:
iptables -t filter -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
等效于匹配TCP三次握手中的第一次握手报文。
PS:–tcp-flags FIN,SYN,RST,ACK SYN也可以直接等效于 -syn

import iptc
# 设定要操作的规则表,NAT\FILTER\RAW\MANGLE
# 设定要操作的规则链,INPUT\OUTPUT\FORWARD\PREROUTING\POSTROUTING
table = iptc.Table(iptc.Table.FILTER)
chain = iptc.Chain(table, "INPUT")

# 设定规则
rule = iptc.Rule()
rule.protocol = "tcp"

# 设定匹配
match = iptc.Match(rule,"tcp")

# --tcp-flags 匹配TCP标记
match.tcp_flags = ['FIN,SYN,RST,ACK', 'SYN']
rule.add_match(match)

# 设定目标
target = iptc.Target(rule, "ACCEPT")
rule.target = target

chain.insert_rule(rule)

[root@bogon python]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             tcp flags:FIN,SYN,RST,ACK/SYN
# 下略

简单规则之TCP的state扩展

iptables -t filter -A INPUT -p tcp -m tcp --state RELATED,ESTABLISHED -j ACCEPT

import iptc
# 设定要操作的规则表,NAT\FILTER\RAW\MANGLE
# 设定要操作的规则链,INPUT\OUTPUT\FORWARD\PREROUTING\POSTROUTING
table = iptc.Table(iptc.Table.FILTER)
chain = iptc.Chain(table, "INPUT")

# 设定规则
rule = iptc.Rule()
rule.protocol = "tcp"

# 设定匹配
# --state 匹配报文状态
match = iptc.Match(rule,"state")
match.state = "RELATED,ESTABLISHED"
rule.add_match(match)

# 设定目标
target = iptc.Target(rule, "ACCEPT")
rule.target = target

chain.insert_rule(rule)

运行结果为:

[root@bogon python]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere             state RELATED,ESTABLISHED
# 下略

简单规则之新建规则链

 import iptc
table = iptc.Table(iptc.Table.FILTER)
chain = table.create_chain("TEST")

运行结果

[root@bogon python]# iptables -L
# 上略
Chain TEST (0 references)
target     prot opt source               destination

多重规则

允许来自固定IP区域、固定端口、固定报文状态、固定时间的链接(随便配的,不考虑是否可行):
iptables -A INPUT -s 192.168.0.7 -j DROP

import iptc
# 设定要操作的规则表,NAT\FILTER\RAW\MANGLE
# 设定要操作的规则链,INPUT\OUTPUT\FORWARD\PREROUTING\POSTROUTING
table = iptc.Table(iptc.Table.FILTER)
chain = iptc.Chain(table, "INPUT")

# 设定规则
rule = iptc.Rule()

# 设定目的地址段和源地址
match_range = iptc.Match(rule, "iprange")
match_range.src_range = "192.168.1.100-192.168.1.200"
match_range.dst_range = "172.22.33.106"
rule.match = match_range

match_tcp = iptc.Match(rule, "tcp")
match_tcp.dport = '80'
match_tcp.sport = '80'
rule.match = match_tcp

match_state = iptc.Match(rule, "state")
match_state.state = "RELATED,ESTABLISHED"
rule.match = match_state

# 设定目标
target = iptc.Target(rule, "DROP")
rule.target = target

chain.insert_rule(rule)

运行结果为:

[root@bogon python]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  192.168.0.0/24       anywhere            
# 下略

写的挺乱的,后续再改。

使用Python编程分析Calico的iptables规则
PixelNinja的博客
08-16 178
Calico是一个开源的容器网络解决方案,它提供了强大的网络功能,包括安全策略和网络隔离。总结一下,本文介绍了如何使用Python编程分析和操作Calico的iptables规则。通过解析规则文件、统计规则数量和生成新的规则,我们可以更方便地管理和控制网络流量。在实际应用中,我们可能需要查找特定的规则或者统计某些规则的数量。上述代码将输出iptables规则的详细信息,包括表、链、匹配条件和动作等。是一个非常有用的工具,它提供了对iptables规则进行解析、操作和生成的功能。接下来,我们可以使用。
Linux-----iptables基础篇
weixin_44167712的博客
01-22 355
Linux--iptables基础篇1 iptables基础篇1.1 iptables基础1.2 顺序读取规则1.3 命令格式1.3.1 参数:1.3.2 动作选项1.4 帮助及环境准备2 简单应用2.1 尝试禁止用户访问1521端口2.2 删除规则2.3 -A和-I的区别2.4 禁止192.168.0.20访问2.5 禁止非自己的访问2.6 禁端口范围2.7 匹配icmp类型2.8 匹配网络状态...
iptables iptc_init函数
sidemap的博客
12-06 1160
iptc_init(): 根据指定的表名获取内核中该表的自身信息和表中所有规则 fcntl(fd, F_SETFD, FD_CLOEXEC) fcntl(int fd, int cmd, longarg): 用来操作文件描述符一些特性。fcntl不仅可以施加建议性锁,还可以施加强制锁。同时,fcntl还可以对文件某一记录进行上锁,也就是记录锁。 F_SETFD 设置close-on-exec ...
[iptables] 使用libiptc下发iptables规则
hanfs390的博客
05-09 3804
1、libiptc 什么是libiptc libiptc是用于与netfilter通信的,netfilter是负责防火墙和数据包过滤的内部内核代码。这段代码和iptables由Paul“Rusty”Russell编写。iptables是使用libiptc调用开发的,以完成工作。 如何获取这些知识 文档参考地址: http://tldp.org/HOWTO/Querying...
Python-iptables如何优化代码
D0126_的博客
02-12 212
我在学习Python时,使用python-iptables编写了一些代码来设置iptables。我遇到的问题是,我不得不想很多次地重复编写很多相同的代码行。我多少懂一些函数,但不了解面向对象编程(OOP)。我认为有一种更好的面向对象编程的方式来编写这段代码,但我不知道怎么做到。你的代码看起来不错;只为面向对象编程重写代码可能并不值得。如果你真的想使用面向对象编程,你可以做类似于下面这样的事情。面向对象编程(OOP)用于维护某些内容的状态。OOP适用于某些既具有属性又具有操纵这些属性的方法的对象。
python-iptables, iptablespython 绑定.zip
10-11
python-iptables, iptablespython 绑定 简介关于 python-iptables是用来管理的工具,它是Linux下标准包过滤和操作框架的标准。 就像iptables代码手册所显示的:Iptables用于在Linux内核中设置。维护和检查IPv4包过滤规则表。 可以定义几个不
使用python-iptables设置linux防火墙权限,只允许特定ip访问指定端口,通过web服务二次验证
shenkunchang1877的博客
01-15 4171
背景: 服务器使用frp后,贼难受被人下了挖矿病毒,痛定思痛决定给服务器加上二次验证,只允许指定ip来访问端口,避免不正常的ip来扫描我的端口。。。所以花了一天时间写个小验证程序 也发布到了github:GitHub - wu8320175/python-iptables-: 使用python-iptables 做服务器指定端口访问二次验证 实现的功能如下: 1. 指定的端口,首先所有ip都不能访问,然后根据web服务验证的结果允许该ip来访问指定端口。 2.将以上功能封装成w...
python iptables
pingnanlee的专栏
12-14 8200
python是很强大,其中很大一部分的原因是python具有丰富的支撑,比如我们想实现一个自己控制防火墙的功能来完成某些特定的功能需要,我们就可以使用pythoniptables来很轻松的实现对iptables规则的管理。具体的文档可以参考如下:python iptables 下面来看一个具体的列子吧,基于rpc实现了一个对外接口,可以远程添加iptables规则,另外还有一个周期性调度的功
Python自动化运维之iptables和安全概述
不一样的花朵的博客
08-21 783
1 安全知识体系 1.1 安全概述【了解】 1.1.1 安全现状 1.1.2 安全体系 底层硬件 买质量合格的设备 基础环境 版本合适,基本系统优化 应用环境 软件版本、配置参数、等 业务环境 项目和软件之间的配置、部门间的规范执行 运营维护 功能迭代方案、网站维护 1.1.3 安全措施 1.2 防火墙基础【了解】 1.2.1 防火墙简介 分类: 功能: 主机、网络 实现: 软件、硬件 细节: 包过滤、应用网关、应用状态、复合型
exif信息修改_如何编辑图像EXIF和IPTC元数据
weixin_39632327的博客
11-30 1207
想要修改图片显示的拍摄时间,地点,以及其他的元标签数据吗?Exif Editor能够帮助到大家,这是一款出色的元标签数据修改工具,能够帮助大家修改拍摄照片的位置,校正照片拍摄时间,删除相机,作者或软件信息。这款软件还能够支持图像的批量处理功能,大大简化修改数据的流程,这一款十分便捷高效的软件。Exif Editor是在Mac上编辑图像EXIF和IPTC元数据的首选程序 , 是大家进行图像元数据编辑...
Iptables规则与策略的设置与管理
## 1.1 什么是Iptables Iptables是一个在Linux操作系统上运行的防火墙软件,用于管理、过滤和控制网络数据包的流动。它是Linux内核中Netfilter框架的用户空间工具,可以对输入、输出和转发数据包进行处理,以实现...
掌握iptables高级规则的使用
iptablesLinux操作系统上用于配置IPv4数据包过滤规则的工具,它是netfilter项目的一部分,可以在数据包通过Linux内核网络堆栈时进行处理,提供网络安全、网络地址转换 (NAT) 和数据包调度等功能。 ## 1.2 ...
Firewall:它是一个基于 IP 表的防火墙,用于控制进出我的系统的数据包流。 我已经使用了所有三种方法,python-iptables,直接 temrinal 命令以及使用 NFQUEUE 包装器
06-11
防火墙 它是一个基于 IP 表的网络层防火墙,用于控制进出我的系统的数据包流。 我已经使用了所有三种方法,python-iptables、直接 temrinal 命令以及使用 NFQUEUE 包装器。 在这里,我做了六个可能的配置: -默认:只允许 HTTP/S -阻止传入 Pings -阻止 HTTP -阻止 HTTPS -阻止目标 IP -阻止所有传出流量 -阻止 DNS 解析
iptables可视化
最新发布
02-15
### 关于iptables可视化工具 对于希望更直观理解iptables规则的人来说,`iptables_vis`是一个非常有用的工具[^2]。此项目可以从iptables的输出中读取数据并生成清晰的流程图,...python3 iptables_vis.py --help ```
iptc example
ace_fei的专栏
02-03 1355
now let's see the small example (the working one). We'd like to create iptables' equivalent rule: iptables -A INPUT -s 156.145.1.3 -d 168.220.1.9 -i eth0 -p tcp --sport 0:59136 --dport 0:51201 -m limi
python 处理linux iptables 策略
weixin_34355881的博客
11-12 712
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 6...
python 执行shell 命令,自动化添加***IP地址到iptables
weixin_34261739的博客
06-30 359
通过python执行shell命令的方法有4种,在这里介绍一种常用的。os.system、 os.popen、 commands、 subprocess接下来介绍subprocess的使用通过python 日志分析,获取到***源IP地址,收集写入到mysql数据中mysql如下:iptables.py脚本#!/usr/bin/envpython #-*-codi...
pip 安装python-iptables报错 /bin/ld: cannot find -lpython3.6m
Dream_lei的博客
04-05 420
可以看到引用动态链接
iptables 使用
CHXRUC1993的博客
02-13 195
原文链接 本文介绍25个常用的iptables用法。如果你对iptables还不甚了解,可以参考上一篇iptables详细教程:基础、架构、清空规则、追加规则、应用实例,看完这篇文章,你就能明白iptables的用法和本文提到的基本术语。 一、iptables:从这里开始 删除现有规则 iptables -F (OR) iptables --flush 设置默认链策略 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值