Proibir IP usando o Iptables / Firewalld

3

Eu fui DDos atacado pelo Chinese Great Firewall duas vezes este ano.

Agora eu faço o download do arquivo de zona do link .Eu quero fazer essas coisas:

  1. Se Alguém de Qualquer Lugar quiser se conectar à porta específica do meu servidor, Tudo pode ser acessado.
  2. Se alguém da China quiser se conectar a qualquer outra porta do meu servidor, todos os pacotes deverão ser descartados. Qualquer pessoa de outro país pode se conectar ao meu servidor corretamente.

Como posso fazer?

Eu uso um plano gratuito do Cloudflare CDN, mas só quero fazer as coisas acima no meu servidor.

    
por PotatoChips 18.11.2015 / 17:33

2 respostas

2

Se você estiver usando iptables , ele retornará na primeira regra correspondente. Se você quiser permitir http, por exemplo, e negar as outras portas para a China, verifique se a regra de permissão http vem primeiro:

iptables -A INPUT -d myhost --dport 80 -j ACCEPT
iptables -A INPUT -m set --match-set china src -j DROP

Usando as declarações acima, você precisará criar um ipset para china usando:

ipset create china hash:net
while read line; do ipset add china $line; done < china.ipblock-file
    
por 18.11.2015 / 20:08
0

Se você quiser bloquear usando o módulo do Apache, tente também:

MaxMindDBEnable On
MaxMindDBFile DB /path/to/GeoIP/GeoLite2-Country.mmdb
MaxMindDBEnv MM_COUNTRY_CODE DB/country/iso_code

SetEnvIf MM_COUNTRY_CODE ^(CN|RU|DE|FR) BlockCountry
Deny from env=BlockCountry
    
por 01.12.2015 / 11:39