批量验证防火墙是否开通(shell+ansible+telnet)

已于 2023-12-08 13:35:28 修改
阅读量390 收藏
点赞数
分类专栏: ansible 文章标签: ansible 运维 bash
于 2023-12-07 13:59:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zouzou_888/article/details/134851257
版权
本文介绍了一种在Linux系统运维中使用Ansible自动化批量验证防火墙的方法,通过编写脚本读取防火墙配置文件,然后使用SSH登录源服务器执行telnet命令,检查目标端口的连通性。
摘要由CSDN通过智能技术生成

前言:

       日常系统运维工作中,经常性的需要开通系统内以及和第三方系统的防火墙,数量少可以直接登录到源服务器进行验证,数量一多就比较折腾,于是就弄了下批量验证防火墙的脚本。大概思路如下:

1.防火墙验证文件格式:源IP地址;目标IP地址;目标端口

2.SHELL脚本读取防火墙文件,循环取出源IP地址,目标IP地址和目标端口

3.执行ansible登录源IP地址服务器,执行telnet 命令,并将执行结果显示

4.查看最终验证结果

前提条件:

1.linux系统服务器,已安装ansible

2.部署脚本的服务器能ssh到需验证的源IP地址服务器

具体步骤如下:

1.设置ansible的hosts

## hosts文件:/etc/ansible/hosts-check-telnet

[test_hosts]
192.168.XX.XX
192.168.XX.XX

[test_hosts:vars]
ansible_ssh_user="root"
ansible_ssh_pass="password"

2.验证防火墙目录涉及文件:

check_telnet.sh

firewall.txt

result.log

telnet.yml

3.编辑需验证防火墙清单

firewall.txt

#格式样例:源IP地址,目标IP地址,目标端口

#实例:192.168.1.2,baidu.com,443

192.168.XX.XX,baidu.com,443

192.168.XX.XX,baidu.com,443

4.执行验证脚本

sh check_telnet.sh 

5. 查看执行结果

cat result.log |grep msg

    "msg": "源IP: 192.168.XX.XX 目标IP: baidu.com 目标端口:443 ,验证结果: 验证通过 "

    "msg": "源IP: 192.168.XX.XX 目标IP: baidu.com 目标端口:443 ,验证结果: 不通 "

6. 相关脚本

telnet.yml

---
- hosts: all
  remote_user: root
  gather_facts: false

  tasks:
    - name: check telnet
      shell:
        cmd: 'echo -e "\n" | timeout --signal=9 3 telnet {{ target_ip }} {{ target_port }} | grep Connected | wc -l'
      register: telnet_result
      when: inventory_hostname == source_ip

    - name: get telnet_result
      debug:
        msg: "源IP: {{ source_ip }} 目标IP: {{ target_ip }} 目标端口:{{ target_port }} ,验证结果: {{ '验证通过' if telnet_result.stdout_lines[0] == '1' else '不通' }} "
      when: inventory_hostname == source_ip

 check_telnet.sh

#!/bin/bash

# 获取当前执行文件所在目录  
current_directory=$(dirname "$0")  
  
check_telnet(){
for ip_port in $(cat $current_directory/firewall.txt|grep -v '^#')
do
    source_ip=$(echo $ip_port|awk -F, '{print $1}')
    target_ip=$(echo $ip_port|awk -F, '{print $2}')
    target_port=$(echo $ip_port|awk -F, '{print $3}')
#   echo "源IP地址是:$source_ip 目标IP地址是:$target_ip 目标端口是:$target_port "

    ansible-playbook -i /etc/ansible/hosts-check-telnet -e source_ip=$source_ip -e target_ip=$target_ip -e target_port=$target_port $current_directory/telnet.yml

done
}

check_telnet >$current_directory/result.log

7.优化

优化了下,shell脚本直接调用ansible,并根据ansible执行的结果来判断防火墙是否是通的,并输出结果,check_telnet.sh脚本如下:

#!/bin/bash

# 获取当前执行文件所在目录
current_directory=$(dirname "$0") 

check_telnet(){
for ip_port in $(cat $current_directory/firewall.txt|grep -v '^#')
do
    source_ip=$(echo $ip_port|awk -F, '{print $1}')
    target_ip=$(echo $ip_port|awk -F, '{print $2}')
    target_port=$(echo $ip_port|awk -F, '{print $3}')
    
    #执行telnet.yml脚本来验证
    #ansible-playbook -i /etc/ansible/hosts-check-telnet -e source_ip=$source_ip -e target_ip=$target_ip -e target_port=$target_port telnet.yml
   
    #优化成直接执行ansible,并根据执行结果判断
    output=$( ansible -i /etc/ansible/hosts-check-telnet $source_ip -m shell -a "echo -e '\n' | timeout --signal=9 3 telnet $target_ip $target_port | grep Connected | wc -l")
    
    #根据ansible执行结果来输出防火墙是否验证通
    #echo "执行telnet结果: $output"
    
    #方法1:根据output返回的信息来判断防火墙是否验证通过
 
    if [[ $output =~ "Connection closed by foreign host" ]]; then  
      echo "源IP地址:$source_ip 目标IP地址:$target_ip 目标端口:$target_port 验证通过"
    elif [[ $output =~ "Connection refused" ]]; then  
      echo "源IP地址:$source_ip 目标IP地址:$target_ip 目标端口:$target_port 验证返回refused,请检查目标服务器的端口服务是否开启"
    else  
      echo "源IP地址:$source_ip 目标IP地址:$target_ip 目标端口:$target_port 验证不通"
    fi

    #方法2:获取执行结果的第二行第一个字符,即wc -l的结果,如果为1,则验证通过,其他为不通过
    #first_char=""
    #first_char=$(echo "$output" | awk 'NR==2{print substr($0,1,1)}')

    #if [[ $first_char -eq "1" ]]; then
    #  echo "源IP地址:$source_ip 目标IP地址:$target_ip 目标端口:$target_port 验证通过"
    #else
    #  echo "源IP地址:$source_ip 目标IP地址:$target_ip 目标端口:$target_port 验证不通"
    #fi

done
}

check_telnet

肉沫企鹅
关注
专栏目录
全国职业院校技能大赛网络建设与运维赛项赛题(一)
yuhongkui的专栏
04-30 3465
全国职业院校技能大赛网络建设与运维赛题(一)一、竞赛项目简介“网络建设与运维”竞赛共分 A.网络理论测试(从公布赛题模块一中随机抽取选择题70道,判断题30道);B.网络建设与调试;C.服务搭建与运维等三个模块。竞赛时间安排和分值权重见表1表 1 竞赛时间安排与分值权模块比赛时长分值模块一网络理论测试0.5小时10%模块二网络建设与调试6.5小时40%模块三服务搭建与运维50%合计7小时100%二、竞赛注意事项1.竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2.请根据大赛所提供的竞赛环境
Ansible模块介绍——防火墙模块
阿瑾的博客
12-27 1042
受控主机缺少依赖policycoreutils-python。1.设置 selinux 为 enforcing。功能:管理远端主机的 SELINUX 防火墙;sefcontext模块。1、允许http服务。
ansible+telnet批量验证网络打通情况
王木头的博客
01-28 2881
背景 有一个需求,需要已验证集群内部分节点的网络打通情况,在ansible批量执行telnet ip port的时候,进程总是卡住,无法继续执行。 原因: telnet在网络通畅的情况下,命令不退出,所以ansible一直没有返回值。 思路: 需要保证telnet在网络通畅的情况下,能退出命令并返回网络结果,使ansible进程继续下去 解决: 使用如下命令 echo '' | telnet ip port 这个命令可以使telnet的结果立即返回 所以,结合ansible的内容,命令如下 ansible
如何检查服务是否运行_如何判断服务器之间的服务是否可用或者防火墙是否开通?...
weixin_39687301的博客
12-03 1323
1. 背景机器A需要调用机器B的服务,为此要保证服务的可用性。1. 两台服务器能ping通,但网络人员告诉我们防火墙并没有开通,这是为什么呢?2.我们有时候用ping,有时候用telent来验证机器A和B的连通性,但有时候会出现这种情况,A可以ping通B,但A调用B的服务会一直报服务超时?如果telnet通了,则不会发生这种情况,这是为什么呢?2. 分析ping 可以测试到目标机器的连通性。用的...
Shell常用脚本:防火墙开闭端口、查看端口开闭状态、所有对外开放的端口
weixin_39651356的博客
02-18 2274
sh firewallUtil.sh open 端口号 sh firewallUtil.sh close 端口号 sh firewallUtil.sh check 端口号 sh firewallUtil.sh list     firewallUtil.sh脚本 #!/bin/bash # 开启端口 openPort () { if [ ! $1 ]; then echo '请输入需要开启的端口,请检查' exit 1
Linux如何查看防火墙是否开放了某端口
WU2629409421perfect的博客
08-21 3810
如果某端口在使用中,我们可以在其他机器使用 telnet {ip} {port}来测试,但是如果这个端口未在使用中,我们就不能通过telnet命令进行判断,因为即使防火墙开放了此端口,由于此端口未被服务占用,所以telnet是访问不通的。 综上,我们可以先开启一个服务,并使它占用要测试的端口! 如果有python环境的话,可以使用如下方式: $ python3 -m http.server 8001 --directory ./ 假使服务端IP是172.17.10.10 可以在客户端通过以下两种方式进
web部署,shellansible自动化部署
m0_57355991的博客
07-30 401
(1)什么是远程连接服务器远程连接服务器通过文字或图形接口方式来远程登录系统,让你在远程终端前登录linux主机以取得可操作主机接口(shell),而登录后的操作感觉就像是坐在系统前面一样。(2)远程连接服务器的功能分享主机的运算能力(3)远程连接服务器的类型(以登录的连接界面来分类)文字接口明文传输:Telnet、RSH等,目前非常少用加密传输:SSH为主,已经取代明文传输图形接口:XDMCP、VNC、XRDP等(4)文字接口连接服务器。
Wazuh从入门到上线,2024年最新网络安全自学
最新发布
2401_83973995的博客
04-18 421
Wazuh-Manager和Wazuh-Agent之间通过1515/tcp端口来进行认证的,具体实现形式类似CA证书的形式。在中大型网络环境中,单台Allinone的Wazuh系统或者单节点的分布式部署Wazuh系统从性能上已经无法满足日志分析和漏洞扫描的需求,因此应当采用高可用、多节点的分布式部署来满足Wazuh对CPU和存储的要求。postgresql12 ≠ postgresql,所以wazuh使用redhat的OVAL文件可以搜出redhat打包的postgresql的漏洞,其他就不可以。
linux第二阶段架构
linux系统运维学习之路
07-03 2602
综合架构 day01 综合架构原理 1.企业上网原理 路由器配置: 第一步:获取设备管理IP地址,修改笔记本网卡地址 第二步:外网线路配置(运营商),完成路由或拨号配置(用户名 密码-- 获取外网IP) 第三步:配置DHCP服务,实现办公环境主机自动获取IP地址 IP地址池信息:192.168.19.1~~192.168.19.200 ...
基础运维-杂乱篇-持续更新.......
热门推荐
kehana的博客
06-04 1万+
………………………………………………华丽丽的分割线……………………………………………………………………… 前方高能预警,非战斗人员撤退 ………………………………………………华丽丽的分割线………………………………………………………………………… 一:修改服务器密码 1:在进入系统开机步骤之前按上下键选中你的操作系统 2:按“e”进入编辑模式,修改linux16那一行 ro以及之后的内容全部...
ansible-role-firewall, 管理iptables规则的角色.zip
09-17
ansible-role-firewall, 管理iptables规则的角色 Ansible防火墙角色 我发现 UFW 在功能方面太有限,我尝试了几个防火墙角色,但没有满足我的要求:从开始支持几乎所有iptables规则允许针对特定主机添加/重写粒度规则在规则中轻松插入变量允许规则排序简单性(
关闭Linux防火墙
飞蛾逐月
07-23 221
文章目录查看防火墙状态临时关闭防火墙禁止开机启动防火墙开启防火墙允许开机启动防火墙关闭防火墙的步骤 查看防火墙状态 CentOS 6 # service iptables status CentOS 7 firewall-cmd --state (关闭后显示not running,开启后显示running) # firewall-cmd --state 或者systemctl status ...
telnet测试端口是否通_Ansible: 使用 python 实现 telnet 端口测试功能
weixin_39585761的博客
12-10 739
问题背景在 ansible 中 我们常常需要测试端口是否能通我们常常使用如下命令来测试某个服务器的端口是否能工作。 telnet www.devnet.sg 443如果是使用 windows powershell 我们常常可以使用下面的命令:PS C:> Test-NetConnection -ComputerName www.devnet.sg -Port 443但是如果在企业环境中我们只...
shell 查看 centos 系统 防火墙状态
mhbsoft的博客
11-27 1207
[root@localhost config]# firewall-cmd --state not running // 已关闭
Ansible Telnet连接插件
皓月耀星辰的专栏
11-09 3109
  拓展ansible通过telnet方式连接远程设备执行命令并处理返回结果。 #!/usr/bin/env python2.7 # encoding: utf-8 from __future__ import (absolute_import, division, print_function) __metaclass__ = type DOCUMENTATION = """ ...
ansible 修改文件变量_网工运维自动化——Ansible增强Telnet模块功能
weixin_39929715的博客
11-21 308
注意:读者需要python3和ansible playbook基础Ansible可以说在自动化运维领域,算是十分方便的利器了。其无代理(被运维主机不需要安装插件)、依靠SSH完成所有运维操作。而且Ansible拥有丰富的模块、插件,基本上已经覆盖了所有的运维功能需求。Ansible使用python开发的,而且源代码开源,如果懂python进行二次开发也十分方便。基于Ansible通过SSH实现运维...
Ansible学习】- 命令相关模块command, shell, raw, expect, script, telnet
业精于勤,荒于嬉;行成于思,毁于随。
07-18 1386
转:https://www.jianshu.com/p/8661c107448d 本文主要介绍Ansible的几个命令模块,包括: command- 在远程节点上执行命令 shell- 让远程主机在shell进程下执行命令 script- 将本地script传送到远程主机之后执行 raw- 执行低级的和脏的SSH命令 expect- 执行命令并响应提示 telnet- 执...
Ansible常用命令
m0_37441468的博客
09-06 977
# 检查主机连接 # ansible caoguo -m ping # 执行远程命令 # ansible caoguo -m command -a 'uptime' # 执行主控端脚本 # ansible caoguo -m script -a '/etc/ansible/script/test.sh' # 执行远程主机的脚本 # ansible caoguo -m sh
利用Telnet连接对探针进行备份
啦啦啦啦的博客
05-16 271
对探针进行备份功能 #!/usr/bin/python # encoding:utf-8 '''collect config of TMA @author : wd @license : Copyright@haohandata @version : 1.0 @todo : created in 2019-05-08 ''' import time import get_ip_list impo...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值