2012年12月31日月曜日

ipレベルで支那からのアクセスを遮断

packageのnginxの場合、GeoIPが入ってないので使用したい場合はリコンパイルが必要。
それが面倒な場合は、支那のipアドレスをチェックしてiptablesで弾く方法もある。

iptablesが入ってなければ入れる

# Debian系
sudo apt-get install iptables
# RedHat系
sudo yum install iptables

怪しいアクセスのipアドレスから情報を取得

whois 124.237.121.117
...
inetnum:        124.236.0.0 - 124.239.255.255
netname:        CHINANET-HE
descr:          CHINANET hebei province network
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
country:        CN
...

遮断

sudo iptables -I INPUT -s 124.236.0.0/14 -j DROP

確認

sudo iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  0.0.236.124.broad.sj.he.dynamic.163data.com.cn/14  anywhere            

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

sudo iptables-save 
# Generated by iptables-save v1.4.12 on Wed Dec 19 16:12:42 2012
*filter
:INPUT ACCEPT [225:28595]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [156:236264]
-A INPUT -s 124.236.0.0/14 -j DROP
COMMIT
# Completed on Wed Dec 19 16:12:42 2012


0 件のコメント:

コメントを投稿