Chinaunix首页 | 论坛 | 博客
  • 博客访问: 281696
  • 博文数量: 44
  • 博客积分: 2046
  • 博客等级: 大尉
  • 技术积分: 611
  • 用 户 组: 普通用户
  • 注册时间: 2010-07-06 11:11
文章分类

全部博文(44)

文章存档

2011年(1)

2010年(43)

我的朋友

分类:

2010-07-11 22:46:46

由于公司服务器上运行的业务非常多,且每台服务器上都做了相应的IPSEC进行访问控制,当遇到服务器业务迁移时,要编辑N多条IPSEC策略是一件让人比较头疼的事情,为了减少编辑策略的时间及防止出现少开或错开端口的问题,编写了以下脚本:
一、首先在新服务器上导入基础IP策略(基础策略包括:只允许公司IP远程访问该机器;允许访问到数据库端口;允许公司IP进行ICMP连接;允许本机HTTP访问等策略);
二、使用以下脚本生成一个名为"openport.bat"的脚本文件,该文件包含了服务器上所有业务侦听的端口,并进行一些必要的编辑,删除非业务类端口;
@echo on
if exist PortLISTENING.log exit
netstat -na |find /i "LISTENING" > PortLISTENING.log
for /f "tokens=2 delims=:" %%a in (PortLISTENING.log) do echo %%a >> LISTENING.log
for /f "tokens=1" %%b in (LISTENING.log) do echo netsh ipsec static add filter filterlist=Yes srcaddr=any protocol=tcp dstport=%%b dstaddr=me >> openport.bat
echo del open.bat /q >> open.bat
del LISTENING.log /q
del PortLISTENING.log /q
exit
三、执行编辑后的"openport.bat"文件,检查IPSEC中策略是否已经正常导入。
阅读(3362) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~