更新 iptables 命令防止重复添加

EtherDream · Jun 19, 2019 · 410af95 · 410af95
1 parent 9844299
commit 410af95
Showing 1 changed file with 6 additions and 2 deletions.
diff --git a/setup-ipset.sh b/setup-ipset.sh
@@ -1,11 +1,15 @@
 #
-# 该脚本用于禁止 jsporxy 用户访问内网（针对 TCP）
+# 该脚本用于禁止 jsporxy 用户访问内网，防止 SSRF 攻击
 # 需要 root 权限运行，依赖 ipset 命令
 #
+if [[ $(iptables -L | grep "anti ssrf") ]]; then
+  exit
+fi
+
 ipset create ngx-ban-dstip hash:net
 
-# 该策略对 jsproxy 用户的所有程序都生效
 iptables \
+  -m comment --comment "anti ssrf" \
   -A OUTPUT \
   -p tcp --syn \
   -m owner --uid-owner jsproxy \