OpenWrt e bloqueando endereços da china

Não tenho certeza se é uma boa idéia bloquear os endereços IP de toda uma nação, especialmente de um país com um grande número de IPs como a China. Isso irá desacelerar seu firewall, e ainda assim não é tão eficaz. Se você insistir, aqui está a lista de IPs pertencentes à China . A melhor maneira de proteger seu servidor ssh é -

1. Altere o número da porta ssh para um número de porta mais alto
2. Instale ferramentas como fail2ban , que bloqueia um IP após várias tentativas de login com falha.
3. Use autenticação de chave privada / pública.

Você pode encontrar este tutorial útil .

Assim como você bloquearia qualquer outra pessoa. Você precisa da lista de blocos de ip chineses, é claro. Você pode obtê-los, por exemplo aqui: link

Então você precisa convertê-lo no formato iptables (a menos que a lista já tenha este formato).

O procedimento exato depende do firewall que você usa. Mas, em geral, você criará uma nova cadeia ssh e enviará todos os acessos para a porta 22 ali. Se você tem um arquivo contendo os endereços no formato iptables (1.2.3.4/24), então você pode usar o comando shell

while read network; do
  iptables -A ssh -s "$network" -j DROP
done < china-networks.txt
iptables -A ssh -j ACCEPT

Isso pode ser otimizado aceitando que você elimine alguns endereços fora da China e combine pequenas redes com redes maiores, reduzindo assim a quantidade de regras a serem verificadas. Isso pode ser feito em /etc/firewall.user no caso do firewall UCI.

Use o ipset para que as grandes listas de endereços IP sejam compatíveis.

Crie um conjunto:

ipset -N myset iphash
while read network; do
  ipset -A myset ${network}
done < china-networks.txt

Eliminar tráfego:

iptables -A INPUT -m set --set myset src -j DROP