ipsetを使用した中国ブロック
手動で数千のIPアドレスをiptablesに追加することはできません。自動的に追加することでも、CPU負荷が高くなる可能性があるため(これは私が読んだことです)、悪い考えです。代わりに、この種のもののために設計されたipsetを使用できます。ipsetは、IPアドレスの大きなリストを処理します。リストを作成し、iptablesにそのリストをルールで使用するように指示するだけです。
注意; 以下のすべてがrootとして実行されることを想定しています。システムがsudoに基づいている場合は、適宜調整してください。
apt-get install ipset
次に、すべての作業を実行する小さなBashスクリプトを作成しました。このスクリプトは、その中のコメントから理解できるはずです。ファイルを作成します。
nano /etc/block-china.sh
貼り付けたいものは次のとおりです。
# Create the ipset list
ipset -N china hash:net
# remove any old list that might exist from previous runs of this script
rm cn.zone
# Pull the latest IP set for China
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone
# Add each IP address from the downloaded list into the ipset 'china'
for i in $(cat /etc/cn.zone ); do ipset -A china $i; done
# Restore iptables
/sbin/iptables-restore < /etc/iptables.firewall.rules
ファイルを保存します。実行可能にします。
chmod +x /etc/block-china.sh
これはまだ何もしていませんが、スクリプトを実行するとすぐに完了します。最初に、上記のスクリプトが定義するこの新しいipsetリストを参照するルールをiptablesに追加する必要があります。
nano /etc/iptables.firewall.rules
次の行を追加します。
-A INPUT -p tcp -m set --match-set china src -j DROP
ファイルを保存します。明確にするために、完全なiptables.firewall.rulesは次のようになります。
*filter
# Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
# Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Block anything from China
# These rules are pulled from ipset's china list
# The source file is at /etc/cn.zone (which in turn is generated by a shell script at /etc/block-china.sh )
-A INPUT -p tcp -m set --match-set china src -j DROP
# Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
# Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# Allow SSH connections
#
# The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Allow ping
-A INPUT -p icmp -j ACCEPT
# Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT
現在、新しいルールが適用されていないため、サーバーに変更はありません。そのためには、block-china.shスクリプトを実行します。
/etc/block-china.sh
中国語ベースのIPの新しいリストを取得し、数秒後、完了してコマンドプロンプトに戻るので、出力が表示されます。
機能するかどうかをテストするには、次のコマンドを実行します。
iptables -L
これで、中国をブロックする新しいルールが表示されます。出力は次のようになります。
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
REJECT all -- anywhere loopback/8 reject-with icmp-port-unreachable
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere match-set china src
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ほぼ完了しました!これは機能し、再起動時に引き続き機能します。ただし、IPアドレスは変更され、そのリストは時間とともに古くなります。更新されたIPのリストをプルして適用する場合は、block-china.shスクリプトを再度実行するだけです。
cronジョブを介して自動的にそれを行うようにマシンを設定することもできます:
crontab -e
次のような行を追加します。
* 5 * * * /etc/block-china.sh
これにより、毎日5時に/etc/block-china.shが実行されます。スクリプトを実行するユーザーは、rootであるか、root権限を持っている必要があります。
ソース