firewall防火墙批量添加规则

原创 已于 2025-09-25 08:43:56 修改 · 415 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #网络 #linux

于 2025-09-23 15:45:07 首次发布

背景:

        ECS之前未配置防火墙,现在根据要求,需要开启防火墙。

难点:

        不清楚都开了哪些服务和端口,不能影响现有的服务。

思路:

  1.         先查看目前ECS的端口和服务由哪些(ss -tuln)。
  2.         然后编写富规则,批量。
  3.         最后,编写脚本。
  4.         彩蛋在后面\(^o^)/~

功能截图:

实现脚本:

auto_firewall.sh

#!/bin/bash

# 允许的网段列表,可以添加多个,用空格分隔
ALLOWED_NETWORKS=("10.70.170.0/24" "10.66.127.0/24")

# 检测当前监听的 TCP 和 UDP 端口,去重
TCP_PORTS=$(ss -tuln | awk '/tcp/ {print $5}' | awk -F: '{print $NF}' | sort -u)
UDP_PORTS=$(ss -tuln | awk '/udp/ {print $5}' | awk -F: '{print $NF}' | sort -u)

echo "检测到需要开放的 TCP 端口:"
echo "$TCP_PORTS"
echo "检测到需要开放的 UDP 端口:"
echo "$UDP_PORTS"

echo "即将为以下网段添加 firewalld 规则:"
printf '%s\n' "${ALLOWED_NETWORKS[@]}"

echo "即将生成的规则如下:"

# 为每个网段、每个 TCP 端口生成 rich rule
for net in "${ALLOWED_NETWORKS[@]}"; do
  for port in $TCP_PORTS; do
    rule="rule family=\"ipv4\" source address=\"$net\" port protocol=\"tcp\" port=\"$port\" accept"
    echo "firewall-cmd --permanent --add-rich-rule='$rule'"
  done
done

# 为每个网段、每个 UDP 端口生成 rich rule
for net in "${ALLOWED_NETWORKS[@]}"; do
  for port in $UDP_PORTS; do
    rule="rule family=\"ipv4\" source address=\"$net\" port protocol=\"udp\" port=\"$port\" accept"
    echo "firewall-cmd --permanent --add-rich-rule='$rule'"
  done
done

# 交互确认
read -p "确认添加以上规则吗?(y/n): " confirm
if [[ "$confirm" == "y" || "$confirm" == "Y" ]]; then
  echo "正在添加规则..."

  # 实际执行添加规则
  for net in "${ALLOWED_NETWORKS[@]}"; do
    for port in $TCP_PORTS; do
      firewall-cmd --permanent --add-rich-rule="rule family=\"ipv4\" source address=\"$net\" port protocol=\"tcp\" port=\"$port\" accept"
    done
  done

  for net in "${ALLOWED_NETWORKS[@]}"; do
    for port in $UDP_PORTS; do
      firewall-cmd --permanent --add-rich-rule="rule family=\"ipv4\" source address=\"$net\" port protocol=\"udp\" port=\"$port\" accept"
    done
  done

  firewall-cmd --reload
  echo "规则已生效!"
else
  echo "操作已取消。"
fi

彩蛋部分:

今儿开心,手动维护rule,有点麻烦,赠送维护脚本一枚。

auto_update.sh

#!/bin/bash
# 批量添加规则示例
RULES=(
    'rule family="ipv4" source address="10.78.178.0/24" port protocol="tcp" port="80" accept'
    'rule family="ipv4" source address="10.78.178.0/24" port protocol="tcp" port="3306" accept'
    'rule family="ipv4" source address="10.78.168.199/32" port protocol="tcp" port="22" accept'
)

for rule in "${RULES[@]}"; do
    sudo firewall-cmd --permanent --add-rich-rule "$rule"
done

sudo firewall-cmd --reload

Windows系统如何批量添加防火墙策略禁止端口入和出?
星如雨落
10-09 1472
该方法适用于 Windows 7 及以上系统(包括 Windows 10/11 和 Server 系列),规则添加后立即生效,无需重启。⚠️ 注意: netsh 不支持在一个规则中混合“离散端口”和“端口段”,但支持多个离散端口用英文逗号分隔,或一个连续段用连字符表示。1.1:禁止 TCP 端口 135、139、445 入站。2.1:禁止 TCP 135和UDP 135端口入站。2.2:禁止 TCP 135和UDP 135端口出站。1.2:禁止一段端口(如 5000–5010)
腾讯云轻量服务器删除所有防火墙规则
tcliuwenwen的博客
01-29 1505
博文背景 我以前重度依赖于云防火墙,现在发现它有一定的弊端,所以决定弃用云防火墙,放行所有规则。我使用SDK请求一次性删除所有防火墙时并没有抛出错误,但是实际执行并没有成功,经过调试发现一次性请求删除的规则数不宜过多。 具体操作 import os import json from tencentcloud.common import credential from tencentcloud.common.profile.client_profile import ClientProfile from te
命令行增加防火墙入站规则
wsdhla的专栏
07-01 4186
命令行增加防火墙入站规则
Windows批量添加防火墙例外端口
an7800666的博客
01-10 1036
Windows下批量添加防火墙例外端口,查了网上资料,基本上都是使用“Netsh命令”,循环增加端口,这会导致建立的规则特别多,不便于管理,查了下微软的资料,原来是Netsh命令,只支持一个端口: 在我机器上执行Netsh命令时,提示不建议用这个了,推荐用:netsh advfirewall firewall 于是根据提示,查询:https://go.micros...
windows防火墙规则添加
lanxiaziyi的专栏
01-12 9963
windows防火墙规则添加
bat批处理 添加防火墙出入站规则
m0_43605481的博客
07-13 5405
bat批处理 添加防火墙出入站规则
Linux运维--Firewall防火墙命令以及规则等详解(全)
lza20001103的博客
09-02 6745
Linux运维--Firewall防火墙命令以及规则等详解(全)
windows系统防火墙如何批量添加出入站规则
qq_27815483的博客
07-05 2162
本文章主要介绍了各种场景下,如何使用bat脚本批量设置防火墙规则批量开启或关闭系统端口,允许或禁止访问应用程序等,以便大家参考学习!
批量增加防火墙入站规则
wsdhla的专栏
01-14 1948
批量增加防火墙入站规则
CMD批量添加防火墙端口
疯狂的芒果
12-04 1673
以33088端口为例,用管理员身份在命令提示符下运行下面命令,便可在Windows防火墙中开启33088端口。通过命令提示符窗口输入命令,添加防火墙允许端口。
批处理设置windows防火墙协议规则
热门推荐
humors221的专栏
04-14 1万+
声明:欢迎批评指正 测试环境:windows7专业版 参考文献:1.协议号大全:https://blog.youkuaiyun.com/lisayh/article/details/78558301                   2.命令行的字符串包含:http://www.bathome.net/thread-16792-1-1.html 准备工作:1.协议号: 0  HOPOPT IPv6
linux防火墙批量添加端口
01-15
为了在 Linux 防火墙批量添加多个端口规则,可以利用 `firewall-cmd` 命令配合特定参数实现高效配置。对于一次性操作大量端口的需求,推荐使用脚本化方式来简化命令输入。 #### 使用单条命令批量开放端口范围 ...
防火墙入站规则批量导入
03-18
### 如何批量导入防火墙入站规则 #### 使用 `netsh` 批量配置 Windows 防火墙规则 在 Windows 中,可以利用 `netsh` 命令通过脚本实现批量导入防火墙规则。以下是具体方法: 可以通过创建一个 `.bat` 文件来执行多...
linux RHCE &RHEL7防火墙规则删除✍
✍千里之行,始于足下 ^,^
12-09 3254
RHEL7防火墙规则删除 查看富规则列表 1.直接查看防火墙的富规则 语句为: firewall-cmd --list-rich-rules 查询效果如下图: 2.也可直接查看 所有的防火墙规则列表来查看富规则 语句:firewall-cmd --list-all 查询效果如下图: 删除富规则的指令格式为 firewall-cmd --remove-rich-rule '***' --pe...
物理服务器和云服务器区别
w708955424的博客
12-02 287
物理服务器是看得见摸得着的实体硬件,企业得自己买服务器主机、硬盘、内存这些零件,放到自己建的机房或者租的IDC机房里。还得有专门的IT团队管维护,比如服务器上架、修故障、换零件,像硬盘坏了就得人工换个新的。物理服务器的CPU、内存、存储这些资源,买的时候就定死了。物理服务器主要是前期买硬件的钱,一般几万起,再加上机房租金、电费、带宽费,前期投入高,还得算3-5年的硬件折旧。适合预算多、业务稳定的大企业,比如银行核心系统。物理服务器的稳定性靠硬件质量和机房环境,要是硬件坏了或者机房断电,业务可能就断了。
海外服务器clone gitee慢怎么办
一个人知道自己为什么而活,他就能够接收任何一种生活
11-29 434
难崩
高并发服务器组件单元测试&集成测试&系统测试
2301_79127392的博客
11-29 1068
在Server模块里包含了几个单独的模块,分别是Buffer模块,Epoll模块,TimerWheel模块和Socket模块,这些模块的功能需要进行单元测试,而剩余的模块都需要整合基础模块,所以这些剩余的模块需要介入联调,也就是集成测试。
一个 CMake 项目是否只能有一个 install 目录?
最新发布
威桑的博客
12-02 377
cmake install 的背后动作
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值