Python脚本自动化配置国外VPS防火墙指南

在网络安全领域，国外VPS服务器的防火墙规则配置直接关系到数据安全。之前接触过一家小企业，他们的国外VPS就因为防火墙配置疏漏被攻击，客户数据泄露，损失不小。这个案例提醒我们：手动配置防火墙容易出错，用Python脚本实现自动化才是更可靠的选择。



攻击者入侵国外VPS时，往往会寻找防火墙开放的漏洞端口。手动逐条设置规则不仅效率低，还可能因疏忽留下安全隐患。而Python凭借丰富的库支持，能轻松实现防火墙规则的自动化下发与管理，大幅降低人为操作失误。

Python自动化配置的常用工具

Python生态中有多个工具适合防火墙自动化：
- `paramiko`库：通过SSH协议远程连接服务器执行命令，适合需要直接操作服务器的场景；
- `subprocess`模块：在本地执行命令（如调用本地防火墙工具）；
- `requests`库：若服务器提供API接口，可通过HTTP请求调用管理接口。

实战：用paramiko远程配置iptables

以最常见的`iptables`（Linux系统默认防火墙工具）为例，演示如何用`paramiko`实现远程规则配置。以下是完整脚本：

import paramiko

服务器连接信息（需替换为实际值）

hostname = 'your_vps_ip'  # 国外VPS公网IP
port = 22                  # SSH默认端口
username = 'your_username' # 登录用户名
password = 'your_password' # 登录密码

初始化SSH客户端

ssh = paramiko.SSHClient()
ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())  # 自动接受未知主机密钥
try:
    ssh.connect(hostname, port, username, password)
except Exception as e:
    print(f"连接失败：{str(e)}")
    exit()

定义防火墙规则列表

rules = [
    'iptables -A INPUT -p tcp --dport 22 -j ACCEPT',  # 允许SSH远程管理
    'iptables -A INPUT -p tcp --dport 80 -j ACCEPT',  # 开放HTTP服务
    'iptables -A INPUT -p tcp --dport 443 -j ACCEPT', # 开放HTTPS服务
    'iptables -P INPUT DROP'                          # 默认拒绝所有未允许的入站流量
]

逐条执行规则并检查结果

for rule in rules:
    stdin, stdout, stderr = ssh.exec_command(rule)
    output = stdout.read().decode().strip()
    error = stderr.read().decode().strip()
    if error:
        print(f"规则 {rule} 执行失败：{error}")
    else:
        print(f"规则 {rule} 执行成功，输出：{output}")

ssh.close()  # 关闭SSH连接

脚本关键点说明：
- 连接部分添加了异常处理，避免因网络问题导致脚本崩溃；
- 规则执行后会分别输出成功信息或错误详情，方便排查问题；
- 默认规则设置为`DROP`（拒绝），确保未明确允许的流量无法进入。

进阶：通过API接口配置（适用于支持RESTful API的国外VPS）

部分国外VPS服务商提供了API接口，可通过`requests`库直接调用。假设服务商提供`/firewall/rules`接口添加规则，示例如下：

import requests

API配置（需替换为实际值）

api_url = 'https://api.your-vps-provider.com/firewall/rules'
api_token = 'your_api_token'  # 从服务商后台获取的认证令牌

要添加的规则参数

rule_data = {
    "protocol": "tcp",
    "port": 80,
    "action": "allow",
    "description": "允许HTTP访问"
}

发送POST请求

try:
    response = requests.post(
        api_url,
        headers={"Authorization": f"Bearer {api_token}"},
        json=rule_data
    )
    response.raise_for_status()  # 若状态码非2xx则抛出异常
    print(f"规则添加成功，ID：{response.json().get('rule_id')}")
except requests.exceptions.RequestException as e:
    print(f"规则添加失败：{str(e)}")

这种方式无需直接操作服务器，通过API即可完成规则管理，更适合需要集成到CI/CD流水线的场景。

注意事项

- 规则顺序很重要：`iptables`按规则顺序匹配，建议将允许规则放在前面，最后设置默认拒绝；
- 测试优先：新规则上线前，建议在测试环境验证，避免因规则错误导致服务中断；
- 持久化保存：`iptables`规则默认重启后失效，需配合`iptables-persistent`等工具保存规则（Debian/Ubuntu系统可通过`sudo apt install iptables-persistent`安装）。

用Python脚本自动化配置国外VPS防火墙，既能提升效率，又能减少人为失误。无论是通过SSH远程执行还是调用API，核心都是将重复操作代码化，让安全防护更稳定、更可控。