标签:iptables web return chain python ip 端口 tcp port
背景:
服务器使用frp后,贼难受被人下了挖矿病毒,痛定思痛决定给服务器加上二次验证,只允许指定ip来访问端口,避免不正常的ip来扫描我的端口。。。所以花了一天时间写个小验证程序
也发布到了github:GitHub - wu8320175/python-iptables-: 使用python-iptables 做服务器指定端口访问二次验证
实现的功能如下:
1. 指定的端口,首先所有ip都不能访问,然后根据web服务验证的结果允许该ip来访问指定端口。
2.将以上功能封装成web服务,先在网页端通过 二级密码 来允许当前ip的访问服务器,当前ip才能访问目的ip和端口,比如ssh服务等。
使用工具:
Python,python-iptables库,flask (用于web服务)
原因:python简单。。。。。,flask搭个服务更简单。
首先python-iptables库安装和使用
pip install --upgrade python-iptables参考:
Python iptc库 修改iptables规则_sinat_27690807的博客-CSDN博客_iptc python
然后是官方网站:GitHub - ldx/python-iptables: Python bindings for iptables
#
# 增删改查
table='filter'
chain='INPUT'
#初始拒绝所有对该端口的访问
def init_port(port):
#先禁止所有对指定端口的访问
if find_reject_port(port) is None:
rule_d = {'protocol': 'tcp', 'target': 'REJECT', 'tcp': {'dport': port}}
iptc.easy.insert_rule(table,chain,rule_d)
return True
return False
#查找对应端口是否已经设置禁止访问
def find_reject_port(port):
for i in iptc.easy.dump_chain(table,chain):
if 'src' not in i:
if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:
return i
return None
#删除对应的端口的禁止权限
def delete_reject_port(port):
res=find_reject_port(port)
if res is not None:
iptc.easy.delete_rule(table,chain,res)
return True
return False
#添加ip和指定端口 允许该ip访问该端口
def add_ip(ip,port):
if find_ip(ip,port) is None:
rule_d = {'protocol': 'tcp','src':ip, 'target': 'ACCEPT', 'tcp': {'dport': port}}
iptc.easy.insert_rule(table,chain,rule_d)
return True
return False
#查找指定ip和端口
def find_ip(ip,port):
for i in iptc.easy.dump_chain(table,chain):
if 'src' in i and ip in i['src']:
if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:
return i
return None
#查找某ip下设置的所有端口
def find_all_ip_ports(ip):
port_list=[]
for i in iptc.easy.dump_chain(table,chain):
if 'src' in i and ip in i['src']:
if 'tcp' in i and 'dport' in i['tcp']:
port_list.append(i['tcp']['dport'])
return port_list
#删除对应ip和端口,禁止该ip访问对应端口
def delete_ip(ip,port):
res=find_ip(ip,port)
if res is not None:
iptc.easy.delete_rule(table,chain,res)
return True
return False
#将某ip允许访问的端口设置为另一个端口
def update_ip_port(ip,raw_port,des_port):
delete_ip(ip,raw_port)
add_ip(ip,des_port)
#检测端口是否合法,并且只允许在low-high的范围
import re
value = re.compile(r'^\d+?$')
def check_port(port,low,high):
#low,high 限制端口的范围
if not isinstance(port,str):
port=str(port)
result = value.match(port)
if result and low<=int(port) and int(port)<=high:
return True
else:
return False
使用示例example:
#先检查端口是否合法
if check_port('6001',6000,7000):
#you code here
pass
#初始化指定端口 拒绝所有访问
init_port("6001")
#删除6001的端口的拒绝访问
# delete_reject_port('6001')
#只允许'192.168.0.1' 访问6001端口
add_ip('192.168.0.1','6001')
#只允许'192.168.0.2' 访问6001端口
add_ip('192.168.0.2','6001')
# 禁止'192.168.0.2' 访问6001端口
delete_ip('192.168.0.2','6001')
#...随意发挥。。。接下来是flask部分,如果其他读者有兴趣的话,我接着写。
标签:iptables,web,return,chain,python,ip,端口,tcp,port 来源: https://blog.csdn.net/shenkunchang1877/article/details/122516364
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。