ACL 与防火墙自动化
CIDR 转防火墙规则
把 IPv4/IPv6 CIDR 一键转换成 iptables、nftables、ipset、nginx 或 UFW 规则,让网络策略从表格更快落到可部署配置。
多目标输出
同一份 CIDR 列表可以转换成多种 ACL / 防火墙语法。
识别 IPv4 与 IPv6
混合地址输入会自动标准化,并输出到正确的规则格式中。
运维友好
适合白名单放行、维护窗口、紧急封禁和入口控制等场景。
预设
规则设置
生成 iptables 与 ip6tables 命令,适合主机防火墙和自动化脚本。
生成的规则
上线前请先审阅结果,确认与环境和策略一致。
有效网络数: 2
iptables -A INPUT -s 203.0.113.0/24 -p tcp --dport 443 -j ACCEPT
ip6tables -A INPUT -s 2001:db8::/32 -p tcp --dport 443 -j ACCEPT标准化网络
203.0.113.0/242001:db8::/32
为什么需要生成器
它能减少同一份策略在 Linux 防火墙、反向代理和集合语法之间手工转写时的复制错误。
最适合的场景
当你已经有一份干净的 CIDR 列表,真正耗时的是把它翻译成正确规则格式时。
什么时候用 ipset
如果列表很长,通常用 ipset 或 nftables set 会比逐条规则更容易维护,性能也更好。
关于此工具
CIDR 转防火墙规则工具适合这样一种场景:你已经知道哪些地址该放行、哪些地址该封禁,但还需要把这份列表转成准确、可部署的规则语法。它支持 IPv4、IPv6 CIDR 和单个主机 IP,并可输出 iptables、nftables、ipset、Nginx、UFW 等常见目标格式。无论是维护窗口白名单、合作方 IP 放通、应急封禁、WAF 旁路列表,还是多系统策略同步,这个工具都能帮你把地址策略更一致地落到配置层。
使用方法
- 每行输入一个 CIDR 或 IP,也可以用逗号分隔。
- 选择目标格式,例如 iptables、nftables、ipset、nginx 或 ufw。
- 设置动作、匹配方向、协议以及可选端口。
- 检查生成规则、无效输入和标准化说明。
- 在真正应用到生产环境前,再次确认输出与目标策略和平台一致。
功能特点
- 支持 iptables、nftables、ipset、nginx、ufw 输出
- 自动标准化 IPv4、IPv6 和单个主机地址
- 保留混合地址族输入
- 协议与端口不合理时给出提示
- 同时兼顾工具可用性和 SEO 落地页内容
常见用例
- 构建反向代理白名单
- 生成临时维护期防火墙规则
- 在滥用响应中快速封禁恶意网段
- 为供应商或办公出口 IP 生成放通规则
- 把策略文档转换成可执行防火墙语法
技术详情
不同平台的防火墙语法各不相同,但核心转换逻辑通常一致:先标准化每个输入网络,再确定匹配源地址还是目标地址,最后输出到目标平台专属语法。
例如:
- iptables:
iptables -A INPUT -s 203.0.113.0/24 -j ACCEPT - nftables:
add rule inet filter input ip saddr 203.0.113.0/24 accept - nginx:
allow 203.0.113.0/24; - ipset:例如
create corp-allow-v4 hash:net family inet这样的可复用集合
对于长列表,通常使用集合而不是几百条单独规则会更清晰,也更容易维护。
防火墙规则常见问题
大量 IP 应该用 iptables 还是 ipset?
如果列表很长或经常变化,通常更建议用 ipset,因为防火墙可以引用一个可复用集合,维护成本更低。
为什么单个 IP 会被转成 /32 或 /128?
这样可以把主机地址明确标准化为 CIDR 形式,避免不同平台下规则表达有歧义。
为什么端口被忽略了?
端口只在 TCP 或 UDP 协议下有意义。如果协议选择了“所有”,生成器会故意去掉端口匹配。
可以混合粘贴 IPv4 和 IPv6 吗?
可以。生成器会保留两种地址族,并针对不同目标生成正确语法。