背景:
某天周末开着黑,打着游戏,吹着牛逼,突然就被一条消息给打断了。。。。
经过分析发现可能是因为服务器账号密码设置太简单,实验室服务器使用frp后,被人下了挖矿脚本cnrig xmrig占用了全部。所以只能连夜迁移数据并重装系统(因为怕留后门,怕以后服务器上大量的数据被人删掉或者被勒索),痛定思痛决定给服务器加上二次验证,只允许指定ip来访问端口,避免不正常的ip来扫描我的端口,花了一天时间写个通过iptables进行验证的小程序。(其实肯定有大佬想到了,为啥不手动在服务器上添加允许访问的ip,首先服务器不是我的,是师弟的,万一我临时换了地点需要用的时候就麻烦了,流程:通知我师弟->师弟找台电脑->登录控制台->添加放行的ip和端口,任一环节出现问题我就用不到)
同时完整代码和程序也发布到了github:(flask部分已经添加上去了,配置应该就可以用了)GitHub - wu835/python-iptables-: 使用python-iptables 做服务器指定端口访问二次验证
实现的功能如下:
1. 指定的端口,首先所有ip都不能访问,然后根据web服务验证的结果允许该ip来访问指定端口。
2.将以上功能封装成web服务,先在网页端通过 二级密码 来允许当前ip的访问服务器,当前ip才能访问目的ip和端口,比如ssh服务,http等。
给个图示:(以下只是我定义的各种名词,专业大佬轻喷,这只是迎合我现在的需求做的)
使用工具:
Python,python-iptables库,flask (用于web服务)
原因:跑实验一直用的python,熟悉且简单,网上一搜关于python的linux访问端口控制,巧了人家有现成的对iptables控制的包。然后是WEB服务,还好之前学过一点,php,django啥的前后端还算会用,最后挑了flask,搭个服务更简单,只需要装个包就行,都不需要额外的服务器配置,美滋滋。
首先python-iptables库安装和使用
pip install --upgrade python-iptables
参考:
Python iptc库 修改iptables规则_sinat_27690807的博客-CSDN博客_iptc python
然后是官方网站:GitHub - ldx/python-iptables: Python bindings for iptables
#import iptc# 增删改查table='filter'chain='INPUT'#初始拒绝所有对该端口的访问def init_port(port):#先禁止所有对指定端口的访问if find_reject_port(port) is None:rule_d = {'protocol': 'tcp', 'target': 'REJECT', 'tcp': {'dport': port}}iptc.easy.insert_rule(table,chain,rule_d)return Truereturn False#查找对应端口是否已经设置禁止访问def find_reject_port(port):for i in iptc.easy.dump_chain(table,chain):if 'src' not in i:if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:return ireturn None#删除对应的端口的禁止权限,并清除该端口下的所有ipdef delete_reject_port(port):res=find_reject_port(port)if res is not None:#清除端口iptc.easy.delete_rule(table,chain,res)#清除该端口下的所有ipfor i in iptc.easy.dump_chain(table,chain):if 'src' not in i:if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:iptc.easy.delete_rule(table,chain,i)return Truereturn False#添加ip和指定端口 允许该ip访问该端口def add_ip(ip,port):if find_ip(ip,port) is None:rule_d = {'protocol': 'tcp','src':ip, 'target': 'ACCEPT', 'tcp': {'dport': port}}iptc.easy.insert_rule(table,chain,rule_d)return Truereturn False#查找指定ip和端口def find_ip(ip,port):for i in iptc.easy.dump_chain(table,chain):if 'src' in i and ip in i['src']:if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:return ireturn None#查找某ip下设置的所有端口def find_all_ip_ports(ip):port_list=[]for i in iptc.easy.dump_chain(table,chain):if 'src' in i and ip in i['src']:if 'tcp' in i and 'dport' in i['tcp']:port_list.append(i['tcp']['dport'])return port_list#删除对应ip和端口,禁止该ip访问对应端口def delete_ip(ip,port):res=find_ip(ip,port)if res is not None:iptc.easy.delete_rule(table,chain,res)return Truereturn False#将某ip允许访问的端口设置为另一个端口def update_ip_port(ip,raw_port,des_port):delete_ip(ip,raw_port)add_ip(ip,des_port)#检测端口是否合法,并且只允许在low-high的范围import revalue = pile(r'^\d+?$')def check_port(port,low,high):#low,high 限制端口的范围if not isinstance(port,str):port=str(port)result = value.match(port)if result and low<=int(port) and int(port)<=high:return portelse:return None# 检查当前设置的port是否在port_list内def check_port_list(port,port_list):if not isinstance(port,str):port=str(port)result = value.match(port)if result and int(port) in port_list:return portelse:return None
使用示例example:
#先检查端口是否合法if check_port('6001',6000,7000):#you code herepass#初始化指定端口 拒绝所有访问init_port("6001")#删除6001的端口的拒绝访问# delete_reject_port('6001')#只允许'192.168.0.1' 访问6001端口add_ip('192.168.0.1','6001')#只允许'192.168.0.2' 访问6001端口add_ip('192.168.0.2','6001')# 禁止'192.168.0.2' 访问6001端口delete_ip('192.168.0.2','6001')#...随意发挥
。。。接下来是flask部分,通过flask写了一个web通过口令来放行对应端口,如果其他读者有兴趣的话,我接着写。
新版增加点样式好看点。。。
