うざい国からのアクセスを全て遮断
レスありがとう御座います。
ポートの開いている80に対し、KR,CN,KPを規制したいとすると、これでOKでしょうか?
# wget http://www.42ch.net/~shutoff/prog/countryfilter.pl
フィルタ作成用Perlスクリプトをダウンロード
# wget ftp://ftp.apnic.net/pub/apnic/stats/apnic/delegated-apnic-latest
最新のデータベースをダウンロード
# perl countryfilter.pl iptables KR,CN,KP < delegated-apnic-latest > filter.sh
KR,CN,KPを指定してデータベースからシェルスクリプトに変換
# iptables -P FORWARD ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -s 127.0.0.1 -j ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -N CKFILTER
# iptables -N CKFILTERED
# source filter.sh
# iptables -A CKFILTER -j ACCEPT
# iptables -A CKFILTERED -j LOG --log-prefix "Rej-TCP "
# iptables -A CKFILTERED -j DROP
# iptables -A INPUT -p tcp -m state --state NEW -j CKFILTER
# iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 23 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 20:21 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 50000:50029 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 -p tcp --dport 10000 -j ACCEPT
# iptables -P INPUT DROP
# /etc/init.d/iptables save active
# iptables-restore /var/lib/iptables/actie
# vi /etc/init.d/iptables_restore
#!/bin/sh
PATH=/bin:/usr/bin:/sbin:/usr/sbin
iptables-restore /var/lib/iptables/active
# chmod a+x /etc/init.d/iptables_restore
# update-rc.d iptables_restore defaults
ポートの開いている80に対し、KR,CN,KPを規制したいとすると、これでOKでしょうか?
# wget http://www.42ch.net/~shutoff/prog/countryfilter.pl
フィルタ作成用Perlスクリプトをダウンロード
# wget ftp://ftp.apnic.net/pub/apnic/stats/apnic/delegated-apnic-latest
最新のデータベースをダウンロード
# perl countryfilter.pl iptables KR,CN,KP < delegated-apnic-latest > filter.sh
KR,CN,KPを指定してデータベースからシェルスクリプトに変換
# iptables -P FORWARD ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -s 127.0.0.1 -j ACCEPT
# iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# iptables -N CKFILTER
# iptables -N CKFILTERED
# source filter.sh
# iptables -A CKFILTER -j ACCEPT
# iptables -A CKFILTERED -j LOG --log-prefix "Rej-TCP "
# iptables -A CKFILTERED -j DROP
# iptables -A INPUT -p tcp -m state --state NEW -j CKFILTER
# iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 23 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 20:21 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 50000:50029 -j ACCEPT
# iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 -p tcp --dport 10000 -j ACCEPT
# iptables -P INPUT DROP
# /etc/init.d/iptables save active
# iptables-restore /var/lib/iptables/actie
# vi /etc/init.d/iptables_restore
#!/bin/sh
PATH=/bin:/usr/bin:/sbin:/usr/sbin
iptables-restore /var/lib/iptables/active
# chmod a+x /etc/init.d/iptables_restore
# update-rc.d iptables_restore defaults
|
|
|