防火墙设置的小问题(r6笔记第94天)

今天也算忙忙碌碌，处理了不少小问题，自己也总结几个问题，本来写点MySQL和mongoDB的东西，发现还是没有准备好，再补补分享给大家。 ### 批量处理防火墙权限开通 每天都会接到不少的请求，有一部分是关于权限开通的，一般的流程就是登陆到目标机器，然后赋予相应的协议和端口，如果检查发现已经开通了权限，就不需要了。 所以如果要开通某个客户端的权限，可能对应很多台服务器，这样一来，处理工作就是大批量的重复性劳动，而且还繁琐。 所以磨刀不误砍柴工，先写个简单脚本来做个半自动化。 #!/usr/bin/expect set dbip_addr [lindex $argv 0] set dbip_port [lindex $argv 1] set ip_addr [lindex $argv 2] set timeout 5 spawn scp -r open_firewall_dep.sh $dbip_addr:/home send "exit \r" expect eof spawn ssh $dbip_addr send "sh /home/open_firewall_dep.sh $ip_addr $dbip_port \r" expect eof 这个脚本会调用例外一个真正校验的脚本，内容如下，这个脚本会去检查防火墙的设置，如果没有对应的端口权限，就去设置，如果存在则忽略。 ip_exists_flag=`iptables -nvL|grep -w $1|wc -l` echo $ip_exists_flag "ip address is founded from firewall list" if [ ${ip_exists_flag} -eq 0 ];then echo "iptables -I INPUT -s $1 -p tcp -m multiport --dports $2 -i `ifconfig |head -1|awk '{print $1}'` -j ACCEPT "; iptables -I INPUT -s $1 -p tcp -m multiport --dports $2 -i `ifconfig |head -1|awk '{print $1}'` -j ACCEPT echo "iptables -nvL|grep -w $1 "; iptables -nvL|grep -w $1 echo "service iptables save"; service iptables save else echo "nothing to do"; fi 运行脚本只需要输入服务ip, 端口，客户端ip即可。 ./b.sh 10.6.48.105 1521 10.127.142.168 前几天配置了好几百台的服务器权限开通，使用这个方法就花了大概10多分钟就搞定了。而且会进行基本的校验，linux环境下没有问题，暂时排除了Unix的设置。 #####Solaris的vi问题 至于solaris的防火墙设置，会和linux有差别，举一个例子。

echo 'pass in quick on e1000g0 proto tcp from 10.127.xxxx to any port = 1522' | ipf -f -

/etc/ipf/ipf.conf ||pass in quick on e1000g0 proto tcp from 10.127.xxxxx to any port = 1522

ipfstat -io|grep "10.127"

但是在solaris上使用vi编辑文件，结果有了下面的警告，让人匪夷所思。 root@xxxxx # vi /etc/ipf/ipf.conf linux: Unknown terminal type I don't know what kind of terminal you are on - all I have is 'linux'. [Using open mode] "/etc/ipf/ipf.conf" 933 lines, 62110 characters block in log on e1000g0 from any to any # echo $TERM linux 解决方法就是设置为其它的TERM，比如 TERM=vt100 可能这种问题可遇不可求，很难碰到，但是碰到了还是让人有些不知所措。