在夏天的帮助下，写了一个动态防火墙的shell（修订版）

platinum

目的是阻断超过阀值访问HTTP和FTP的IP，保护服务器
并将被阻断的IP写入日志

1. 
   
2. #! /bin/bash
   
3. # fuckgo.sh
   
4. # by platinum
   
5. 
   
6. MYIP="xxx.xxx.xxx.xxx"
   
7. ftp_who()
   
8. {
   
9.         netstat -an|grep $MYIP':21 '|grep -v LISTEN|grep -v ESTABLISHED|awk '{print $5;}'|awk -F':' '{print $1;}'|sort|uniq -c|awk '{print $1"="$2;}'
   
10. }
    
11. 
    
12. http_who()
    
13. {
    
14.         netstat -an|grep $MYIP':80 '|grep -v LISTEN|awk '{print $5;}'|awk -F':' '{print $1;}'|sort|uniq -c|awk '{print $1"="$2;}'
    
15. }
    
16. 
    
17. for _un in $(ftp_who)
    
18. do
    
19.         IP=`echo $_un|gawk -F'=' '{print $2}'`
    
20.         NUM=`echo $_un|awk -F'=' '{print $1}'`
    
21.         if [ $NUM -gt 5 ] && [ -z "`iptables -vnL|grep $IP`" ]
    
22.         then
    
23.                 iptables -I INPUT -s $IP -p tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j DROP
    
24.                 echo "`date` FTP $IP NUM: $NUM" >> /var/log/fuck.log
    
25.         fi
    
26. done
    
27. 
    
28. for _un in $(http_who|grep -v $MYIP)
    
29. do
    
30.         IP=`echo $_un|gawk -F'=' '{print $2}'`
    
31.         NUM=`echo $_un|awk -F'=' '{print $1}'`
    
32.         if [ $NUM -gt 20 ] && [ -z "`iptables -vnL|grep $IP`" ]
    
33.         then
    
34.                 iptables -I INPUT -s $IP -p tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j DROP
    
35.                 echo "`date` WEB $IP NUM: $NUM" >> /var/log/fuck.log
    
36.         fi
    
37. done
    

复制代码

下面这个用crontab执行，时间间隔自己定，用于清除前面那个脚本设置的规则

1. 
   
2. #! /bin/bash
   
3. ftp_who()
   
4. {
   
5.         iptables -nL|grep "DROP"|grep "dpt:21"|awk '{print $4;}'
   
6. }
   
7. 
   
8. http_who()
   
9. {
   
10.         iptables -nL|grep "DROP"|grep "dpt:80"|awk '{print $4;}'
    
11. }
    
12. 
    
13. for _un in $(ftp_who)
    
14. do
    
15.         iptables -D INPUT -s $_un -p tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED -j DROP
    
16. done
    
17. 
    
18. for _un in $(http_who)
    
19. do
    
20.         iptables -D INPUT -s $_un -p tcp --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j DROP
    
21. done
    

复制代码

记录的日志

Mon Apr 4 16:23:39 CST 2005 WEB 222.179.186.253 NUM: 52
Mon Apr 4 17:01:48 CST 2005 FTP 219.144.142.150 NUM: 6
Mon Apr 4 17:02:48 CST 2005 FTP 219.144.142.150 NUM: 6
Mon Apr 4 20:31:43 CST 2005 WEB 211.99.157.181 NUM: 60
Mon Apr 4 22:01:06 CST 2005 WEB 202.108.249.177 NUM: 57
Mon Apr 4 22:21:11 CST 2005 WEB 220.142.86.75 NUM: 51
Tue Apr 5 16:06:33 CST 2005 WEB 222.179.186.253 NUM: 66
Tue Apr 5 16:27:38 CST 2005 WEB 202.108.249.177 NUM: 59
Tue Apr 5 20:56:33 CST 2005 WEB 218.171.110.97 NUM: 51
Wed Apr 6 19:16:10 CST 2005 FTP 221.213.41.74 NUM: 7
Wed Apr 6 19:46:15 CST 2005 FTP 210.44.189.130 NUM: 6
Wed Apr 6 19:46:15 CST 2005 FTP 210.44.189.132 NUM: 7
Wed Apr 6 19:46:15 CST 2005 FTP 210.44.189.133 NUM: 8
Wed Apr 6 19:57:17 CST 2005 FTP 210.44.189.131 NUM: 6
Wed Apr 6 21:03:29 CST 2005 FTP 221.213.41.74 NUM: 8
Wed Apr 6 21:51:37 CST 2005 WEB 211.99.157.189 NUM: 60
Wed Apr 6 22:04:39 CST 2005 FTP 221.213.41.74 NUM: 6
Wed Apr 6 22:27:42 CST 2005 WEB 222.136.154.137 NUM: 113

由于水平太低，刚刚接触shell不久，只能写成这样了
请大家多多给予指点^_^

網中人

哇! 剛接觸就寫成這樣了, 不簡單呢!
再讓你多碰幾天, 恐怕更是不得了~~~ 呵~~~  ^_^

加油!

platinum

主要还是零二年夏天的功劳，他给我的帮助非常大
在这里我再次谢谢他^_^

寂寞烈火

原帖由 "platinum" 发表：

由于水平太低，刚刚接触shell不久，只能写成这样了
请大家多多给予指点^_^

走召弓虽口牙!!!

platinum

for _un in $(ftp_who)
do
        do something
done

用这个来处理一个输出队列，感觉这个想法很棒，可惜不是我想的

li2002

不错不错！！

yzjboy

谢谢楼主了，我先收藏了。

剑心通明

原帖由 "platinum" 发表：

由于水平太低，刚刚接触shell不久，只能写成这样了
请大家多多给予指点^_^

后面的crontab的shell，如果我用的freebsd的ipfilter或pf等防火墙，是不是只需要修改它就行了，前面的那个shell只是获得哪些地址得连接数过多的？

網中人

我一直覺得, netfilter 應該會出這樣的 patch 才對.
不過我不確定, 樓主有沒找過呢?

waker

如果遇到DDOS
$(http_who)会不会过长引起问题？