使用python-iptables库设置linux防火墙权限,只允许特定ip访问指定端口,二次验证的web服务
2022/1/16 7:04:02
本文主要是介绍使用python-iptables库设置linux防火墙权限,只允许特定ip访问指定端口,二次验证的web服务,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
背景:
服务器使用frp后,贼难受被人下了挖矿病毒,痛定思痛决定给服务器加上二次验证,只允许指定ip来访问端口,避免不正常的ip来扫描我的端口。。。所以花了一天时间写个小验证程序
也发布到了github:GitHub - wu8320175/python-iptables-: 使用python-iptables 做服务器指定端口访问二次验证
实现的功能如下:
1. 指定的端口,首先所有ip都不能访问,然后根据web服务验证的结果允许该ip来访问指定端口。
2.将以上功能封装成web服务,先在网页端通过 二级密码 来允许当前ip的访问服务器,当前ip才能访问目的ip和端口,比如ssh服务等。
使用工具:
Python,python-iptables库,flask (用于web服务)
原因:python简单。。。。。,flask搭个服务更简单。
首先python-iptables库安装和使用
pip install --upgrade python-iptables
参考:
Python iptc库 修改iptables规则_sinat_27690807的博客-CSDN博客_iptc python
然后是官方网站:GitHub - ldx/python-iptables: Python bindings for iptables
# # 增删改查 table='filter' chain='INPUT' #初始拒绝所有对该端口的访问 def init_port(port): #先禁止所有对指定端口的访问 if find_reject_port(port) is None: rule_d = {'protocol': 'tcp', 'target': 'REJECT', 'tcp': {'dport': port}} iptc.easy.insert_rule(table,chain,rule_d) return True return False #查找对应端口是否已经设置禁止访问 def find_reject_port(port): for i in iptc.easy.dump_chain(table,chain): if 'src' not in i: if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']: return i return None #删除对应的端口的禁止权限 def delete_reject_port(port): res=find_reject_port(port) if res is not None: iptc.easy.delete_rule(table,chain,res) return True return False #添加ip和指定端口 允许该ip访问该端口 def add_ip(ip,port): if find_ip(ip,port) is None: rule_d = {'protocol': 'tcp','src':ip, 'target': 'ACCEPT', 'tcp': {'dport': port}} iptc.easy.insert_rule(table,chain,rule_d) return True return False #查找指定ip和端口 def find_ip(ip,port): for i in iptc.easy.dump_chain(table,chain): if 'src' in i and ip in i['src']: if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']: return i return None #查找某ip下设置的所有端口 def find_all_ip_ports(ip): port_list=[] for i in iptc.easy.dump_chain(table,chain): if 'src' in i and ip in i['src']: if 'tcp' in i and 'dport' in i['tcp']: port_list.append(i['tcp']['dport']) return port_list #删除对应ip和端口,禁止该ip访问对应端口 def delete_ip(ip,port): res=find_ip(ip,port) if res is not None: iptc.easy.delete_rule(table,chain,res) return True return False #将某ip允许访问的端口设置为另一个端口 def update_ip_port(ip,raw_port,des_port): delete_ip(ip,raw_port) add_ip(ip,des_port) #检测端口是否合法,并且只允许在low-high的范围 import re value = re.compile(r'^\d+?$') def check_port(port,low,high): #low,high 限制端口的范围 if not isinstance(port,str): port=str(port) result = value.match(port) if result and low<=int(port) and int(port)<=high: return True else: return False
使用示例example:
#先检查端口是否合法 if check_port('6001',6000,7000): #you code here pass #初始化指定端口 拒绝所有访问 init_port("6001") #删除6001的端口的拒绝访问 # delete_reject_port('6001') #只允许'192.168.0.1' 访问6001端口 add_ip('192.168.0.1','6001') #只允许'192.168.0.2' 访问6001端口 add_ip('192.168.0.2','6001') # 禁止'192.168.0.2' 访问6001端口 delete_ip('192.168.0.2','6001') #...随意发挥
。。。接下来是flask部分,如果其他读者有兴趣的话,我接着写。
这篇关于使用python-iptables库设置linux防火墙权限,只允许特定ip访问指定端口,二次验证的web服务的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-06-0600-macOS和Linux安装和管理多个Python版本
- 2024-03-30[译]漫画SELinux概念
- 2024-03-29linux 移动文件
- 2024-03-28linux .so file
- 2024-03-28Linux 磁盘管理
- 2024-03-28Linux学习笔记(十三)磁盘管理(一):磁盘分区
- 2024-03-26linux 创建 文件
- 2024-03-25使用SecureCRT对Linux vim进行颜色设置
- 2024-03-202019-2020-12 20199317 《Linux内核原理与分析》 第十二周作业
- 2024-03-20Linux运维的第二周总结