ACL 與防火牆自動化
CIDR 轉防火牆規則
把 IPv4/IPv6 CIDR 一鍵轉成 iptables、nftables、ipset、nginx 或 UFW 規則,讓網路策略更快落地成可部署設定。
多目標輸出
同一份 CIDR 清單可以轉成多種 ACL / 防火牆語法。
辨識 IPv4 與 IPv6
混合位址輸入會自動標準化,並輸出成正確規則格式。
營運友善
適合白名單放行、維護時窗、緊急封鎖與入口控制等場景。
預設
規則設定
產生 iptables 與 ip6tables 指令,適合主機防火牆與自動化腳本。
產生的規則
上線前請先審閱結果,確認它與環境和策略一致。
有效網路數: 2
iptables -A INPUT -s 203.0.113.0/24 -p tcp --dport 443 -j ACCEPT
ip6tables -A INPUT -s 2001:db8::/32 -p tcp --dport 443 -j ACCEPT標準化網路
203.0.113.0/242001:db8::/32
為什麼需要產生器
它能減少同一份策略在 Linux 防火牆、反向代理與集合語法之間手工轉寫時的複製錯誤。
最適合的場景
當你已經有一份乾淨的 CIDR 清單,真正耗時的是把它翻譯成正確規則格式時。
什麼時候用 ipset
如果清單很長,通常使用 ipset 或 nftables set 會比逐條規則更容易維護、效能也更好。
關於此工具
CIDR 轉防火牆規則工具適合這樣的情境:你已經知道哪些位址該放行、哪些位址該封鎖,但還需要把這份清單轉成準確、可部署的規則語法。它支援 IPv4、IPv6 CIDR 與單一主機 IP,並可輸出 iptables、nftables、ipset、Nginx、UFW 等常見目標格式。無論是維護時窗白名單、合作方 IP 放通、緊急封鎖、WAF 旁路清單,還是多系統策略同步,這個工具都能幫你更一致地把位址策略落到設定層。
使用方法
- 每行輸入一個 CIDR 或 IP,也可以用逗號分隔。
- 選擇目標格式,例如 iptables、nftables、ipset、nginx 或 ufw。
- 設定動作、比對方向、協定與可選連接埠。
- 檢查產生規則、無效輸入與標準化說明。
- 在真正套用到正式環境前,再次確認輸出與目標策略和平台一致。
功能特點
- 支援 iptables、nftables、ipset、nginx、ufw 輸出
- 自動標準化 IPv4、IPv6 與單一主機位址
- 保留混合位址族輸入
- 協定與連接埠不合理時給出提示
- 同時兼顧工具可用性與 SEO 落地頁內容
常見用例
- 建立反向代理白名單
- 產生臨時維護期防火牆規則
- 在濫用回應中快速封鎖惡意網段
- 為供應商或辦公出口 IP 產生放通規則
- 把策略文件轉成可執行防火牆語法
技術詳情
不同平台的防火牆語法各不相同,但核心轉換邏輯通常一致:先標準化每個輸入網路,再決定比對來源位址或目的位址,最後輸出到目標平台的專屬語法。
例如:
- iptables:
iptables -A INPUT -s 203.0.113.0/24 -j ACCEPT - nftables:
add rule inet filter input ip saddr 203.0.113.0/24 accept - nginx:
allow 203.0.113.0/24; - ipset:例如
create corp-allow-v4 hash:net family inet這種可重複使用集合
對於長清單,通常使用集合而不是幾百條單獨規則會更清楚,也更容易維護。
防火牆規則常見問題
大量 IP 應該用 iptables 還是 ipset?
如果清單很長或經常變動,通常更建議用 ipset,因為防火牆可以引用一個可重複使用的集合,維護成本更低。
為什麼單一 IP 會被轉成 /32 或 /128?
這樣可以把主機位址明確標準化成 CIDR 形式,避免不同平台下規則表達有歧義。
為什麼連接埠被忽略了?
連接埠只有在 TCP 或 UDP 協定下才有意義。如果協定選擇了「所有」,產生器會刻意移除連接埠比對。
可以混合貼上 IPv4 和 IPv6 嗎?
可以。產生器會保留兩種位址族,並針對不同目標輸出正確語法。