一、背景介绍
企业网络安全防护中,都会要求配置物理网络防火墙以及主机防火墙,加强对网络安全的防护。云改数转之际,多系统上云过程中都会申请开通大量各类网络配置,针对这些复杂且庞大的网络策略开通配置,那么在网络配置前、后会有一些痛点:
1、策略配置前,针对无需处理的策略(源和目的网络已经联通),没有手段提前批量探测一下,不仅工作量增加,经常导致策略重复添加。
2、策略配置后,运维人员处理完成,不能及时便捷的探测网络连通性,无法及时验证开通效果,给业务上云工作带来很大的困扰,急需一个便利的批量端口探测工具。
3、telnet作为网络端口连通性探测工具,针对已开通防火墙网络权限的探测会很快返回,但对于网络不通的,会等待60s才能超时返回,效率太低。
二、工具描述
1、针对telnet自身短板(网络超时需要60s返回结果),用c语言重新编译telnet,加入超时闹钟alarm自定义设置(目前设置5s超时返回),大大提升探测效率,对应工具名“telnetplus”
2、针对业务申请的一对多、多对多和多对一各种的网络策略,规定策略内容填写梳理成一条一条IP+PORT记录,格式为1.1.1.1|22(IP|PORT) ,对应文件名“telnet.list”
3、通过调用telnetplus命令,遍历IP+PORT,并将结果进行分类汇总,输出到指定文件,程序名“telnetconn.sh”
三、实现过程
1、telnet改版的工具,已放到下载资源中
https://download.csdn.net/download/vincent0920/88689118
2、将telnetplus命令文件拷贝到/usr/bin目录下
3、将telnetconn.sh和telnet.list拷贝到同一个目录下面
telnet.list
#hosts
192.168.163.6|22
192.168.163.7|22
192.168.163.8|1521
192.168.163.9|22
192.168.163.10|3306
192.168.163.134|3306
telnetconn.sh
#!/bin/bash
#########################Detail#############################
# 1. This shell is used to check destnation ip + port can #
# connect usually. #
# 2. Three result file will be created: telnet_succ.log & #
# telnet_fail.log & telnet_tmout.log #
# 3. Input file telnet_list.txt's format: 10.10.10.10|22 #
############################################################
RESDIR=result
TELNET_LIST=$1
TMOUT=5
###check result dir exist###
if [ ! -d $RESDIR ];then
mkdir $RESDIR
fi
###bak result file###
mv $RESDIR/telnetfull_result.log $RESDIR/telnetfull_result.log`date +%Y%m%d`
mv $RESDIR/telnet_result.log $RESDIR/telnet_result.log`date +%Y%m%d`
mv $RESDIR/telnet_fail.log $RESDIR/telnet_fail.log`date +%Y%m%d`
mv $RESDIR/telnet_succ.log $RESDIR/telnet_succ.log`date +%Y%m%d`
mv $RESDIR/telnet_tmout.log $RESDIR/telnet_tmout.log`date +%Y%m%d`
mv $RESDIR/telnet_refused.log $RESDIR/telnet_refused.log`date +%Y%m%d`
touch $RESDIR/telnet_result.log
touch $RESDIR/telnetfull_result.log
touch $RESDIR/telnet_fail.log
touch $RESDIR/telnet_succ.log
touch $RESDIR/telnet_tmout.log
touch $RESDIR/telnet_refused.log
###begin telnetfull###
for line in `cat $TELNET_LIST |grep -v ^# |grep -v ^$ `
do
###get remote ip#########
ip=`echo $line | awk 'BEGIN{FS="|"} {print $1}'`
###get remote port#######
port=`echo $line | awk 'BEGIN{FS="|"} {print $2}'`
###get local ip##########
local_ip=`ifconfig | grep "134." | awk '{print $2}' | tr -d "addr:"`
###begin telnet###
telnetfull $ip $port $TMOUT >> $RESDIR/telnetfull_result.log
###find succ record into telnet_succ.log#####
res=`tail -1 $RESDIR/telnetfull_result.log|awk '{print $5}'`
if [ $res = failed ];then
nohup telnet $ip $port >> $RESDIR/telnet_result.log 2>&1
nohup telnet $ip $port > $RESDIR/telnet_tmp.log 2>&1
resf=`grep telnet $RESDIR/telnet_tmp.log|awk '{print $7}'`
echo $resf
if [ $resf = refused ];then
echo "local_ip:$local_ip remote_ip:$ip | $port | refused" >> $RESDIR/telnet_refused.log
else
echo "local_ip:$local_ip remote_ip:$ip | $port | No route to host" >> $RESDIR/telnet_fail.log
fi
elif [ $res = success ];then
echo "local_ip:$local_ip remote_ip:$ip | $port | success" >> $RESDIR/telnet_succ.log
elif [ $res = timeout ];then
echo "local_ip:$local_ip remote_ip:$ip | $port | timeout" >> $RESDIR/telnet_tmout.log
fi
done
4、执行命令sh telnetconn.sh telnet.list
执行结束后,在result子目录下面生成七个结果文档:
最后检查telnetfull_result.log:所有telnet遍历结果
最后,如果觉得本文对你有帮助,欢迎点赞、收藏、评论!
There are many things that can not be broken!