无限星辰工作室-客户无限互联网动力之源

标题: iptables 脚本工具 [打印本页]
作者: crx349    时间: 2019-9-18 02:44
标题: iptables 脚本工具
分享一个一键设置Centos系统防火墙脚本
  1. #!/bin/bash
  2. #无源IP限制的端口
  3. TCP_DPORT="80 443 22 21 2299 8888 9922 39000:40000"
  4. UDP_DPORT=""

  6. #带有源IP限制的端口 192.168.0.1改成对应内网ip
  7. S_TCP_IP="192.168.0.1 192.168.0.2 192.168.0.3"
  8. S_TCP_MAC=""
  9. S_TCP_DPORT="3306 6379"

  11. S_UDP_IP=""
  12. S_UDP_MAC=""
  13. S_UDP_DPORT=""

  15. #黑名单IP,禁止接入
  16. DROP_IP=""

  18. #系统版本,输入大版本号,6(Centos 6)或者7(Centos 7)
  19. sysver=


  22. if [[ ! -n $sysver ]];then
  23.         while true;
  24.         do
  25.                 read -p "请选择系统版本[1.Centos6 2.Centos7]: " version
  26.                 case $version in
  27.                                 1|6)
  28.                                 sysver=6
  29.                                 break;
  30.                                 ;;
  31.                                 2|7)
  32.                                 sysver=7
  33.                                 break;
  34.                                 ;;
  35.                                 *)
  36.                                 echo "----请输入1或者2----"
  37.                                 ;;
  38.                 esac
  39.         done               
  40. fi

  42. function config_iptables() {
  43. #判断SSH端口
  44. if [ ! -n "$(egrep -wi "Port" /etc/ssh/sshd_config | grep -v \#)" ];then
  45.         sshport=22
  46. else
  47.         if [ "$(egrep -wi "Port" /etc/ssh/sshd_config |grep -v \#|wc -l)" == "1" ];then
  48.                 sshport=$(egrep -wi "Port" /etc/ssh/sshd_config |grep -v \# |awk -F" " '{print $2}')
  49.         else
  50.                 sshport=0
  51.         fi
  52. fi

  54. iptables -F
  55. iptables -X
  56. iptables -Z
  57. iptables -P INPUT DROP
  58. iptables -P FORWARD DROP
  59. iptables -P OUTPUT ACCEPT
  60. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  61. iptables -A INPUT -p icmp -j ACCEPT
  62. iptables -A INPUT -i lo -j ACCEPT

  64. if [ "$sshport" == "0" ];then
  65.         for sshport in $(egrep -wi "Port" /etc/ssh/sshd_config |grep -v \# |awk -F" " '{print $2}')
  66.         do
  67.                 iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport $sshport -j ACCEPT
  68.         done
  69. else
  70.         iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport $sshport -j ACCEPT
  71. fi

  73. if [[ -n ${TCP_DPORT} ]];then
  74.         for t_prot in ${TCP_DPORT};
  75.                 do
  76.                         iptables -A INPUT -p tcp -m tcp --dport ${t_prot} -j ACCEPT
  77.                 done
  78. fi

  80. if [[ -n ${UDP_DPORT} ]];then
  81.         for u_port in ${UDP_DPORT};
  82.                 do
  83.                         iptables -A INPUT -p udp --dport ${u_port} -j ACCEPT
  84.                 done
  85. fi

  87. if [[ -n ${S_TCP_IP} && -n ${S_TCP_DPORT} ]];then
  88.         for ip in ${S_TCP_IP};
  89.                 do
  90.                         for s_tport in ${S_TCP_DPORT};
  91.                                 do
  92.                                         iptables -A INPUT -p tcp -m tcp -s $ip --dport ${s_tport} -j ACCEPT
  93.                                 done
  94.                 done
  95. fi

  97. if [[ -n ${S_TCP_MAC} && -n ${S_TCP_DPORT} ]];then
  98.         for tmac in ${S_TCP_MAC};
  99.                 do
  100.                         for s_tport in ${S_TCP_DPORT};
  101.                                 do
  102.                                         iptables -A INPUT -p tcp -m mac --mac-source $tmac --dport ${s_tport} -j ACCEPT
  103.                                 done
  104.                 done
  105. fi

  107. if [[ -n ${S_UDP_IP} && -n ${S_UDP_DPORT} ]];then
  108.         for ip in ${S_UDP_IP};
  109.                 do
  110.                         for s_uport in ${S_UDP_DPORT};
  111.                                 do
  112.                                         iptables -A INPUT -p udp -s $ip --dport ${s_uport} -j ACCEPT
  113.                                 done
  114.                 done
  115. fi

  117. if [[ -n ${S_UDP_MAC} && -n ${S_UDP_DPORT} ]];then
  118.         for umac in ${S_UDP_MAC};
  119.                 do
  120.                         for s_uport in ${S_UDP_DPORT};
  121.                                 do
  122.                                         iptables -A INPUT -p udp -m mac --mac-source $umac --dport ${s_uport} -j ACCEPT
  123.                                 done
  124.                 done
  125. fi
  126. if [[ -n ${DROP_IP} ]];then
  127.         for d_ip in ${DROP_IP};
  128.                 do
  129.                         iptables -A INPUT -s ${d_ip} -j DROP
  130.                 done
  131. fi
  132. iptables -A INPUT -j REJECT --reject-with icmp-host-prohibited
  133. iptables -A FORWARD -j REJECT --reject-with icmp-host-prohibited
  134. }

  136. function main() {
  137. if (( "$sysver" == "6" ));then
  138.         echo "*/3 * * * * /etc/init.d/iptables stop" >> /var/spool/cron/root
  139.         echo -e "[\033[35mINFO\033[0m] [开始配置防火墙策略,并加入每5分钟关闭防火墙服务的定时任务,如稍后无法连接服务器,请静等五分钟再尝试连接]"
  140.         /etc/init.d/iptables restart
  141.         sleep 3
  142.         config_iptables
  143.         /etc/init.d/iptables save
  144.         echo -e "[\033[32mOK\033[0m] [防火墙策略已生效,测试无问题后请在5分钟内删除关闭防火墙服务的定时任务]"
  145. elif (( "$sysver" == "7" ));then
  146.         echo "*/5 * * * * /bin/systemctl stop firewalld" >> /var/spool/cron/root
  147.         echo -e "[\033[35mINFO\033[0m] [开始配置防火墙策略,并加入每5分钟关闭防火墙服务的定时任务,如稍后无法连接服务器,请静等五分钟再尝试连接]"
  148.         systemctl restart firewalld
  149.         sleep 3
  150.         config_iptables
  151.         echo -e "[\033[32mOK\033[0m] [防火墙策略已生效,测试无问题后请在5分钟内删除关闭防火墙服务的定时任务]"
  152. else
  153.         echo "不正确的版本号,请检查脚本"
  154.         exit 0
  155. fi
  156. }
  157. main

复制代码






欢迎光临 无限星辰工作室-客户无限互联网动力之源 (https://www.xmspace.net/) Powered by Discuz! X3.4