shell for循环案例：自动批量添加iptables应用端口规则

lenga

shell for循环案例：自动批量添加iptables应用端口规则
#####################################################
##如有转载，请务必保留本文链接及版权信息
##欢迎广大运维同仁一起交流linux/unix网站运维技术!
##QQ:335623998
##E-mail:335623998@qq.com
##博客： http://dreamway.blog./
##weibo：http://weibo.com/zhaixiangpan
#####################################################
文档信息：
文档版本：Version 1.0
修改记录： 2013-04-17
系统环境：CentOS 6.3 64bit

格式约定：
灰色底黑色加粗：为输入的系统命令部分
灰色底：输入的系统命令返回的信息或者配置文件文本信息
绿色底：技巧或需要注意的注释信息
粉色底：需特别注意的地方
蓝色字体：内容注释


前言
一个应用提供服务的端口挺多，如果手工重复操作添加就太没效率了，所以就使用shell自动化处理。将提供服务的TCP、UDP端口都加入iptables允许策略。
系统环境
CentOS release 6.3 (Final)


命令优化历程
历程1：一条将TCP服务端口加入iptables命令如下：

for i in `netstat -anltp|awk '{print $5}'|awk -F : '{print $2}' |sort -n|uniq|egrep -v '\*|^$'`; do sed -i "4a`echo "-A INPUT -p tcp -m tcp --dport $i -j ACCEPT"`"  /etc/sysconfig/iptables; done;sed -i '4a#tcp port' /etc/sysconfig/iptables;/etc/init.d/iptables restart


历程2：为了取端口更精准进行优化后的命令：

for i in `netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|sort -n|uniq`; do sed -i "5a`echo "-A INPUT -p tcp -m tcp --dport $i -j ACCEPT"`" /etc/sysconfig/iptables; done && /etc/init.d/iptables restart && iptables -vnL  && sed -i '5a#tcp port' /etc/sysconfig/iptables

此条命令先查询到监听端口、生成iptables规则、使用sed附加规则到第5行以后并加注释，再重启服务及查询规则。

这个我觉得还不够适应于生产应用，为什么呢，我的环境是线上应用且已经有一些iptables规则，如果往iptables配置文件直接插入是需要重启服务生效这会对应用有些影响。
历程3：
进一步优化后的命令,推荐：
for i in `netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|sort -n|uniq`; do iptables -I INPUT -p tcp -m tcp --dport $i -j ACCEPT ; done && /etc/init.d/iptables save && iptables -vnL && sed -i '5a#tcp port rule' /etc/sysconfig/iptables

本条shell命令的功能：
1、查询目前提供服务的TCP端口，并进行数字排序、去除重复端口
2、根据查询到的服务端口使用命令插入iptables允许规则
3、使用sed增加注释插入指定行
4、保存iptables配置

详细讲解这条命令：

1、查询到的端口内容格式
# netstat -anltp
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name  
tcp        0      0 0.0.0.0:6182                0.0.0.0:*                   LISTEN      17892/mtasvr      
tcp        0      0 0.0.0.0:6150                0.0.0.0:*                   LISTEN      17879/session      
tcp        0      0 0.0.0.0:6151                0.0.0.0:*                   LISTEN      17879/session      
tcp        0      0 127.0.0.1:199               0.0.0.0:*                   LISTEN      1847/snmpd         
…………      
tcp        0      0 0.0.0.0:6130                0.0.0.0:*                   LISTEN      17875/adminsvr     
tcp        0      0 0.0.0.0:57202               0.0.0.0:*                   LISTEN      1780/rpc.statd     
tcp        0      0 0.0.0.0:6195                0.0.0.0:*                   LISTEN      17901/jdaemon      
tcp        0      0 0.0.0.0:6131                0.0.0.0:*                   LISTEN      17875/adminsvr     
tcp        0      0 0.0.0.0:6132                0.0.0.0:*                   LISTEN      17875/adminsvr     
tcp        0      0 0.0.0.0:9909                0.0.0.0:*                   LISTEN      17902/jdaemon      
tcp        0      0 0.0.0.0:6102                0.0.0.0:*                   LISTEN      17876/mdsvr        
tcp        0      0 0.0.0.0:9527                0.0.0.0:*                   LISTEN      1861/sshd         
…………………………     
tcp        0 14680 10.0.250.161:9527           10.0.250.38:62046           ESTABLISHED 21509/sshd         
tcp        0      0 127.0.0.1:63331             127.0.0.1:6120              ESTABLISHED 17901/jdaemon      


2、筛选出打开的网络端口

2.1 取出本地监听端口
netstat -anlt|awk '{print $4}'
(servers
Local
192.168.4.176:5188
127.0.0.1:48102
127.0.0.1:199
0.0.0.0:139
略

去除的结果开头两行是多余的

2.2 使用sed去除开头两行内容
netstat -anlt|awk '{print $4}'|sed -e '1,2d'|less
192.168.4.176:5188
127.0.0.1:48102
127.0.0.1:199
0.0.0.0:139
127.0.0.1:25
0.0.0.0:445
略
:::80
:::22
::ffff:192.168.4.176:22


2.3取出端口
如上格式，有些是IPv6的地址格式，我们就以“:”为分隔符，去除倒数第一个内容即端口号
netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|less
5188
48102
199
139
25
445
3787
27979
51646
51641
略

2.4 对端口号进行数字排序、去除重复行
netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|sort -n|uniq
22
25
80
139
199
445
5188
48102
略


3、iptables命令
3.1插入规则：默认为filter表、匹配TCP协议、目标端口
iptables -I INPUT -p tcp -m tcp --dport port-number -j ACCEPT

3.2保存iptables规则
/etc/init.d/iptables save

3.3查询iptables规则
iptables -vnL

3.4插入规则注释
sed -i '5a#tcp port rule' /etc/sysconfig/iptables


至此iptables增加应用服务TCP端口允许规则已经可以实施。若手工重复一条条增加也太苦B了，一点也不能突显运维工程师的价值，分明就是重复型体力劳动。那如何解决呢？聪明的你一定比我早想到了，对，就是使用shell的for循环。

5、shell for循环
5.1首先回顾一下shell for循环的语法结构
for … in 语句语法：
for 变量 in字符串
do
action
done

说明：字符串只要用空格字符分割，每次for…in 读取时，就会按顺序读到值，给前面的变量。
此结构另一种一行的写法：
for 变量 in 字符串; do command action;done


5.2 先写一条iptables规则添加for循环脚本
参考前面的手工添加思路
#!/bin/bash
for port  in 80
do
iptables -I INPUT -p tcp -m tcp --dport $port -j ACCEPT
done

/etc/init.d/iptables save
iptables -vnL
sed -i '5a#tcp port rule' /etc/sysconfig/iptables

5.3 将其转换为一条命令的for循环格式，如下
for port in 80; do iptables -I INPUT -p tcp -m tcp --dport $port -j ACCEPT ; done && /etc/init.d/iptables save && iptables -vnL && sed -i '5a#tcp port rule' /etc/sysconfig/iptables

5.4 到此推荐的自动添加iptables规则命令就出炉了
for prot in `netstat -anlt|awk '{print $4}'|sed -e '1,2d'|awk -F : '{print $NF}'|sort -n|uniq`; do iptables -I INPUT -p tcp -m tcp --dport $port -j ACCEPT ; done && /etc/init.d/iptables save && iptables -vnL && sed -i '5a#tcp port rule' /etc/sysconfig/iptables

5.5 命令执行效果
执行命令效果
Saving firewall rules to /etc/sysconfig/iptables:          [ OK ]

Chain INPUT (policy ACCEPT 7147 packets, 1707K bytes)
pkts bytes target     prot opt in     out     source               destination        
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:64853
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:64140
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63876
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63543
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63470
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63459
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63123
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63114
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63112
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63106
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63103
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63075
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:63072
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:62994
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:62898
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61881
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61697
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61696
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61531
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61341
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61086
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61068
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:61004
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60988
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60923
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60561
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60290
    0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60281
0     0 ACCEPT     tcp -- *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:60270
略

iptables配置文件内容
cat /etc/sysconfig/iptables
# Generated by iptables-save v1.3.5 on Wed Apr 17 16:39:34 2013
*filter
:INPUT ACCEPT [7437:1794735]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7945:2335877]
#tcp port rule
-A INPUT -p tcp -m tcp --dport 64853 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 64140 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 63876 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 63543 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 63470 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 63459 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 63123 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 63114 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 63112 -j ACCEPT
略

是不是方便了很多。这是TCP协议端口的添加脚本，UDP端口大家参考修改下即可。
书写本文的目的并不是告诉大家操作命令如何使用，本文涉及的操作命令及用法大家都很熟悉。我的目的主要是介绍、阐述我所理解的运维思想:运维工作应该自动化、简单化、脚本化、批量化、标准化、统一化。欢迎大家一起交流运维工作。

woyoudn

有事秘书干，没事干秘书!

659441806

走，MM，咱们化蝶去……

视频的容积

只要不下流，我们就是主流!

违法℃玩家

很多女明星不红的原因是因为没有张开腿*^_^*

sanhutrees

路过，支持一下啦

wyyy721

很多女明星不红的原因是因为没有张开腿*^_^*