Home Python - Automatisera DHCP-scopes, IPTables- & interface-config
Post
Cancel

Python - Automatisera DHCP-scopes, IPTables- & interface-config

Posted Feb 15, 2018
By
7 min read

Tänkte fixa ihop ett litet script för att automatiskt generera DHCP-scopes, IPTables- & router-config, går finfint att antingen bygga ihop med Flask och ta in näten via ett formulär från användaren eller hämta från valfri källa. Vi räknar med att näten som kommer in är i formatet “192.168.0.0/24” med radbrytning mellan varje nät.  Vi separerar även typen av nät genom att lägga till filnamnet vi hämtat det från. Exempelvis:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

IPTV.txt
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24
192.168.4.0/24

VOIP.txt
172.16.0.0/24
172.16.2.0/24
172.16.3.0/24
172.16.4.0/24

SURF.txt
10.10.0.0/24
10.10.1.0/24
10.10.2.0/24
10.10.3.0/24

OFFNET.txt
132.10.0.0/24
147.2.0.0/24

Börjar med att importa biblioteket netaddr & datetime samt att vi sparar ner ovanstående till variabeln “content”på valfritt vis, skapa sedan listor som vi kommer använda för att sortera ut näten.

1
2
3
4
5
6
7

from netaddr import *
from datetime import datetime

iptv = []
voip = []
surf = []
offnet = []

Vi loopar sedan genom variabeln ord för ord och sätter en tag för respektive nättyp när vi får träff. Scriptet vet på vis att efterföljande ipnät tillhör ex. IPTV, och när den matchar mot VOIP sparas de i “voip” etc.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

 for line in content.split():
  # Tagging types of networks
  if "IPTV.txt" in line:
    net = "iptv"
  elif "VOIP.txt" in line:
    net = "voip"
  elif "SURF.txt" in line:
    net = "surf"
  elif "OFFNET.txt" in line:
    net = "offnet"
 
  # Saving networks to separate lists
  if net == "iptv":
    if "0/24" in line:
      iptv.append(line)
  elif net == "voip":
    if "0/24" in line:
      voip.append(line)
  elif net == "surf":
    if "0/24" in line:
      surf.append(line)
  elif net == "offnet":
    if "0/24" in line:
    offnet.append(line)

För validering kan vi även summera hur många nät vi hittat i respektive kategori.

1
2
3
4
5

validation = '''Found the following networks:
 IPTV: {iptv}
 VoIP: {voip}
 SURF: {surf}
 OFFNET: {offnet}'''.format(iptv=len(iptv), voip=len(voip), surf=len(surf), offnet=len(offnet))

Nu har vi allt vi behöver för att börja skapa lite filer, IP-tables till att börja med. I detta fall vill jag endast skapa firewall-öppningar för näten IPTV, VOIP & Surf, vi måste därför separera dem från OFFNET-näten. Vi fixar även en tidsstämpel vi kan använda till att skapa unika filnamn.

1
2
3
4
5

 # Creates a list of lists - all networks that needs firewall opening 
 fire_nets = [iptv, voip, surf]

 # Used for unique filename
 tfconfig_time = datetime.now().strftime("%Y%m%d-%H:%M:%S")

I IPTables vill vi exempelvis öppna för UDP-förfrågningar på port 67 (DHCP), vi loopar därför genom fire_nets och lägger in detta i en fördefinierad iptables-rad. Vi behöver även en funktion för att traversa listor i listor, utan detta blir outputen [192.168.0.0/24, 192.168.1.0/24…], [172.16.0.0/24, 172.16.1.0/24..], [10.10.0.0/24, 10.10.1.0/24…] vilket vi inte vill ha.

1
2
3
4
5
6
7
8
9
10
11
12

def traverse(o, tree_types=(list, tuple)):
  if isinstance(o, tree_types):
    for value in o:
      for subvalue in traverse(value, tree_types):
        yield subvalue
      else:
       yield o

 # Appends a statement for each network in list that needs a firewall opening
 firewall = []
 for network in traverse(fire_nets):
   firewall.append('-A INPUT -p udp -s {NET} --dport 67 -j ACCEPT'.format(NET=network))

Vi spar sedan ner ovanstående nät i en fil.

1
2
3
4

with open('/firewall/iptables-{time}.txt'.format(time=tfconfig_time), 'w') as outfile:
# Prints firewall-statements to file, uses print to get newline per statement - instead of insterting /n to text
 for fire in firewall:
   print(fire, file=outfile)

Så enkelt har vi skapat vår IP-tables configuration, nästa steg blir att skapa routerconfig. Vi kontrollerar så att respektive lista inte är tom (isf behöver vi ingen interface-config) och använder sedan modulen netaddr vi importerade tidigare för att hämta ut första giltiga ip-adress och subnätmask ur respektive nät.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

with open('/loopbacks/interfaces-{time}.txt'.format(time=tfconfig_time), 'w') as outfile:

  if iptv:
    print("ninterface Lo500", file=outfile)
    for network in iptv:
      loopaddr = IPNetwork(network) # Saves IP-info (uses netaddr)
      print(' ipv4 address ' + str(loopaddr[1]) + ' ' + str(loopaddr.netmask) + ' secondary', file=outfile) # Prints 1st available hostadress + netmask from variable

  if voip:
   print("ninterface Lo600", file=outfile)
   for network in voip:
     loopaddr = IPNetwork(network)
     print(' ipv4 address ' + str(loopaddr[1]) + ' ' + str(loopaddr.netmask) + ' secondary', file=outfile)

  if surf:
   print("ninterface Lo700", file=outfile)
   for network in surf:
     loopaddr = IPNetwork(network)
     print(' ipv4 address ' + str(loopaddr[1]) + ' ' + str(loopaddr.netmask) + ' secondary', file=outfile)

  if offnet:
   print("ninterface Lo800", file=outfile)
   for network in offnet:
     loopaddr = IPNetwork(network)
     print(' ipv4 address ' + str(loopaddr[1]) + ' ' + str(loopaddr.netmask) + ' secondary', file=outfile)

Sista steget blir att skapa DHCP-scope filer, detta blir något krångligare men förhoppningsvis är det inte allt för rörigt. Vi skapar först en textfil för respektive nät vilket kommer användas som mall för våra scopes. Exempelvis:

1
2
3
4
5
6
7
8
9
10
11
12

/templates/voip-scope.txt

subnet $NET netmask $MASK {
 pool {
  allow members of "voip";
  deny members of "notallowed";
  range $FIRST $LAST;
  option routers $OPTROUTER;
  option broadcast-address $BROADCAST;
  option subnet-mask $MASK;
  }
}

Skapa liknande filer för alla nättyper, vi använder sedan netaddr igen för att få ut all info vi behöver till scope-filen från respektive nät genom att loopa varje lista.  Vi öppnar även vår scope-mall och ersätter ex. $FIRST $LAST med infon vi redan hämtat ut genom användandet av dictionarys. Supersmidigt! Glöm inte att appenda infon så vi inte skriver över filen för varje loop-körning.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

 # Generate scopes for VoIP
 for network in voip:
   ip = IPNetwork(network)
   net = str(ip[0])
   mask = str(ip.netmask)
   gwip = str(ip[1])
   bcip = str(ip.broadcast)
   first_ip = str(ip[2])
   last_ip = str(ip.broadcast - 1)
   # Testing
   #print('Net: {net}, Mask: {mask}, GW: {gwip}, BC: {bcip}, host {first_ip}, last useable: {last_ip}'.format(net=net, mask=mask, gwip=gwip, bcip=bcip, first_ip=first_ip, last_ip=last_ip))

  replacements = {'$NET':net, '$MASK':mask, '$FIRST':first_ip, '$LAST':last_ip, '$OPTROUTER':gwip, '$BROADCAST':bcip}

  with open('/templates/voip-scope.txt') as infile, open('/dhcp-scopes/voip-{time}.txt'.format(time=tfconfig_time), 'a') as outfile:
    for line in infile:
      for src, target in replacements.items():
        line = line.replace(src, target)
        outfile.write(line)

Vi gör sedan precis likadant för respektive scope-fil. Done!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57

#### Surf DHCP-Scope Networks ####
 
  subnet 10.10.0.0 netmask 255.255.255.0 {
    pool {
         allow members of "surf";
         deny members of "notallowed";
         range 10.10.0.2 10.10.0.254;
         option routers 10.10.0.1;
         option broadcast-address 10.10.0.255;
         option subnet-mask 255.255.255.0;
         }
  }
  subnet 10.10.1.0 netmask 255.255.255.0 {
    pool {
         allow members of "surf";
         deny members of "notallowed";
         range 10.10.1.2 10.10.1.254;
         option routers 10.10.1.1;
         option broadcast-address 10.10.1.255;
         option subnet-mask 255.255.255.0;
         }
  }
  subnet 10.10.2.0 netmask 255.255.255.0 {
    pool {
         allow members of "surf";
         deny members of "notallowed";
         range 10.10.2.2 10.10.2.254;
         option routers 10.10.2.1;
         option broadcast-address 10.10.2.255;
         option subnet-mask 255.255.255.0;
         }
  }
  subnet 10.10.3.0 netmask 255.255.255.0 {
    pool {
         allow members of "surf";
         deny members of "notallowed";
         range 10.10.3.2 10.10.3.254;
         option routers 10.10.3.1;
         option broadcast-address 10.10.3.255;
         option subnet-mask 255.255.255.0;
         }
  }

#### Interface config ####

interface Lo700
 ipv4 address 10.10.0.1 255.255.255.0 secondary
 ipv4 address 10.10.1.1 255.255.255.0 secondary
 ipv4 address 10.10.2.1 255.255.255.0 secondary
 ipv4 address 10.10.3.1 255.255.255.0 secondary

#### Firewall config ####

-A INPUT -p udp -s 10.10.0.0/24 --dport 67 -j ACCEPT
-A INPUT -p udp -s 10.10.1.0/24 --dport 67 -j ACCEPT
-A INPUT -p udp -s 10.10.2.0/24 --dport 67 -j ACCEPT
-A INPUT -p udp -s 10.10.3.0/24 --dport 67 -j ACCEPT

Har implementerat något liknande på jobbet om än med betydligt fler funktioner då vi hanterar en rätt stor mängd nät mer eller mindre dagligen och det har helt klart förenklat arbetet. Kanske kan leda till lite inspiration för någon annan.. :)

Python
This post is licensed under CC BY 4.0 by the author.
Recently Updated

Python & Flask del 2 - Views & Forms

Python - Automatisera konfig med indata från Excel mha openpyxl