背景：

        服务器使用frp后，贼难受被人下了挖矿病毒，痛定思痛决定给服务器加上二次验证，只允许指定ip来访问端口，避免不正常的ip来扫描我的端口。。。所以花了一天时间写个小验证程序

也发布到了github：GitHub - wu8320175/python-iptables-: 使用python-iptables 做服务器指定端口访问二次验证

实现的功能如下：

1. 指定的端口，首先所有ip都不能访问，然后根据web服务验证的结果允许该ip来访问指定端口。

2.将以上功能封装成web服务，先在网页端通过 二级密码 来允许当前ip的访问服务器，当前ip才能访问目的ip和端口，比如ssh服务等。

使用工具：

        Python，python-iptables库，flask （用于web服务）

原因：python简单。。。。。，flask搭个服务更简单。

首先python-iptables库安装和使用

pip install --upgrade python-iptables

参考：

Python iptc库 修改iptables规则_sinat_27690807的博客-CSDN博客_iptc python

然后是官方网站:GitHub - ldx/python-iptables: Python bindings for iptables

#
# 增删改查
table='filter'
chain='INPUT'


#初始拒绝所有对该端口的访问
def init_port(port):
    #先禁止所有对指定端口的访问
    if find_reject_port(port) is None:
        rule_d = {'protocol': 'tcp', 'target': 'REJECT', 'tcp': {'dport': port}}
        iptc.easy.insert_rule(table,chain,rule_d)
        return True
    return False

#查找对应端口是否已经设置禁止访问
def find_reject_port(port):
    for i in iptc.easy.dump_chain(table,chain):
        if 'src' not in i:
            if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:
                return i
    return None

#删除对应的端口的禁止权限
def delete_reject_port(port):
    res=find_reject_port(port)
    if res is not None:
        iptc.easy.delete_rule(table,chain,res)
        return True
    return False

#添加ip和指定端口  允许该ip访问该端口
def add_ip(ip,port):
    if find_ip(ip,port) is None:
        rule_d = {'protocol': 'tcp','src':ip, 'target': 'ACCEPT', 'tcp': {'dport': port}}
        iptc.easy.insert_rule(table,chain,rule_d)
        return True
    return False

#查找指定ip和端口
def find_ip(ip,port):
    for i in iptc.easy.dump_chain(table,chain):
        if 'src' in i and ip in i['src']:
            if 'tcp' in i and 'dport' in i['tcp'] and port in i['tcp']['dport']:
                return i
    return None

#查找某ip下设置的所有端口
def find_all_ip_ports(ip):
    port_list=[]
    for i in iptc.easy.dump_chain(table,chain):
        if 'src' in i and ip in i['src']:
            if 'tcp' in i and 'dport' in i['tcp']:
                port_list.append(i['tcp']['dport'])
    return port_list

#删除对应ip和端口，禁止该ip访问对应端口
def delete_ip(ip,port):
    res=find_ip(ip,port)
    if res is not None:
        iptc.easy.delete_rule(table,chain,res)
        return True
    return False

#将某ip允许访问的端口设置为另一个端口
def update_ip_port(ip,raw_port,des_port):
    delete_ip(ip,raw_port)
    add_ip(ip,des_port)

#检测端口是否合法，并且只允许在low-high的范围
import re
value = re.compile(r'^\d+?$')
def check_port(port,low,high):
    #low,high  限制端口的范围
    if not isinstance(port,str):
        port=str(port)
    result = value.match(port)
    if result and low<=int(port) and int(port)<=high:
        return True
    else:
        return False
        

使用示例example： 

#先检查端口是否合法
if check_port('6001',6000,7000):
    #you code here
    pass

#初始化指定端口 拒绝所有访问
init_port("6001")
#删除6001的端口的拒绝访问
# delete_reject_port('6001')

#只允许'192.168.0.1' 访问6001端口
add_ip('192.168.0.1','6001')

#只允许'192.168.0.2' 访问6001端口
add_ip('192.168.0.2','6001')

# 禁止'192.168.0.2' 访问6001端口
delete_ip('192.168.0.2','6001')
#...随意发挥

。。。接下来是flask部分，如果其他读者有兴趣的话，我接着写。