需求:服務器http併發連接數多的就用iptables拒絕掉
思路:
1、首先通過netstat統計當前http連接數(大於3個連接就將連接數統計值和連接IP重定向到/root/black.txt)
2、將白名單IP寫入到/root/white.txt(防止之後iptables將一些正常請求的IP拒絕掉)
3、運行命令awk '{print $2}' /root/black.txt 獲取打印連接數過高的IP地址
4、定義一個變量dropip,其類型爲數組
5、循環數組裏面的值( ${dropip[@]}表示數組下標的所有值 )
6、action "拒絕IP${var}" /bin/true 這個被我註釋掉了,主要是用來調試的時候用了下
[root@linux-node8 test]# cat iptables.sh
#!/bin/bash
#
. /etc/init.d/functions
httpcc=`netstat -aon|grep "172.2.0.68:80" |grep "ffff" |awk '{print $5}' |cut -d":" -f 4 |sort |uniq -c |awk '$1 >3 {printf $1 "\t" $2 "\n"}' >/root/black.txt`
sleep 6
dropip=(`awk '{print $2}' /root/black.txt`)
for var in ${dropip[@]}
do
grep "$var" /root/white.txt &>/dev/null
[ $? -ne 0 ] && {
iptables -I INPUT -p tcp -s $var -j DROP
echo "iptables -I INPUT -p tcp -s $var -j DROP" >> /root/deny_ip.log
#action "拒絕IP${var}" /bin/true
sleep 3
}
done