•   Login
  •  
  •   Rss
  •   Rss2.0
  •   ATOM1.0
  •   Admin
  •   Top
  •   Home

FireWall強化2(国別ブロック編)
ZONE_FILE_URL=http://www.ipdeny.com/ipblocks/data/countries。
先日は、Postfix+SASLによるFireWallの強化(Dropルールの追加)をしましたが、今回は、サーバー全体を守るために特定の国からのアクセスを拒否する方法です。


これをすることによって、国単位でブロックすることになりますので、仕事上やり取りをしている人には、あまりお薦めできない方法です。
これも、ググれば簡単に出る(紹介)がありました。
私は、こちらのサイトを参考にしました。
iptablesで特定国からのアクセスを弾く



シェルスクリプトはこんな感じ。
ipsetを事前にインストールしておこう!「apt-get install -y ipset
#!/bin/shおまじないは不要。入れるとエラーになる。
ZONE_FILE_URL="http://www.ipdeny.com/ipblocks/data/countries"
ipset create DROPCOUNTRIES hash:net
for IP in $(wget -O - ${ZONE_FILE_URL}/{cn,kr,ru}.zone | grep -v "^#|^$" )
do
ipset add DROPCOUNTRIES $IP
done
iptables -A INPUT -m set --match-set DROPCOUNTRIES src -j DROP

これらを実行した結果はこちら。
xxxx@yyyyyyyyy:~# ./block_ip.sh
ipset v6.23: Set cannot be created: set with the same name already exists
--2016-09-19 11:32:26-- http://www.ipdeny.com/ipblocks/data/countries/cn.zone
www.ipdeny.com (www.ipdeny.com) をDNSに問いあわせています... 192.241.240.22
www.ipdeny.com (www.ipdeny.com)|192.241.240.22|:80 に接続しています... 接続しました。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 117838 (115K)
`STDOUT' に保存中

- 100%[============================>] 115.08K 254KB/s 時間 0.5s

2016-09-19 11:32:26 (254 KB/s) - stdout へ出力完了 [117838/117838]

--2016-09-19 11:32:26-- http://www.ipdeny.com/ipblocks/data/countries/kr.zone
www.ipdeny.com:80 への接続を再利用します。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 17088 (17K)
`STDOUT' に保存中

- 100%[============================>] 16.69K --.-KB/s 時間 0.001s

2016-09-19 11:32:26 (24.4 MB/s) - stdout へ出力完了 [17088/17088]

--2016-09-19 11:32:26-- http://www.ipdeny.com/ipblocks/data/countries/ru.zone
www.ipdeny.com:80 への接続を再利用します。
HTTP による接続要求を送信しました、応答を待っています... 200 OK
長さ: 119269 (116K)
`STDOUT' に保存中

- 100%[============================>] 116.47K 753KB/s 時間 0.2s

2016-09-19 11:32:27 (753 KB/s) - stdout へ出力完了 [119269/119269]

終了しました --2016-09-19 11:32:27--
経過時間: 1.2s
ダウンロード完了: 3 ファイル、248K バイトを 0.6s で取得 (408 KB/s)
xxxx@yyyyyyyyy:~#

ダウンロード完了までは速かったんだけど、そこから一気にiptablesで登録するので少々時間がかかりました。
実行したのは、日付を見ての通り先日の連休最終日。
さてさて、これ以降の結果はどうなることやら…。


取りあえず、当方はブロックした国はスクリプトの通り
・中国
・韓国
・ロシア
です。サンプルプログラムでは台湾もありましたが、こちらはそのままで良いかな。と。
なので、これらの国に駐在する日本人が、ここへアクセスするときは、VPNでどこかの国を経由してから来て下さい。


と言っても、もう見ることが出来ないかもしれないけどね(^^)

記事を評価してください(★1つ=悪い、★5つ=良い)
この記事の平均評価: 未評価 (0人)
Posted by いぐぅ 05:33 | システム::linux | comments (0) | trackback (0)
コメント
コメントする









この記事のトラックバックURL
http://www.sir-2.net/dablg/tb.php/5611
トラックバック

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31