CentOS on X40:CKFILTERでうざい国からのアクセスを遮断する

WebサーバもFTPサーバもMailサーバも立ち上がってるのに、時間の都合上いまだSnortすら導入してません。
一応必要なときしか
Mailサーバのサービスは起動せず、FTPも許可ホストしかログインできないようにはなっているのですが・・・

そんなわけで手軽に導入
できるものということで、iptablesというファイアウォールソフト?を使用してあらかじめ決まっているIPアドレスを拒否する設定を行ってみまし
た。
まだ実績が出てないのでなんともいえませんが、一応紹介しておきます。

参考サイト:
うざい国からのアクセスを全て遮断
韓国 IP アドレスからのパケットを遮断する

※結果的にまた全拒否されてしまいました。一応
紹介だけしておきますが、どうやらdip.jpドメインをあらかじめ許可しておく必要があるようです。

以前も試したのですが、 韓国 IP アドレスからのパケットを遮断する
の設定をそのまま実行するとケータイすらアクセスできなくなる事態になったため、ブロック対象のアドレス一覧を うざい国からのアクセスを全て遮断
から取得して設定しました。

iptablesのチェインを作成

# iptables -N
CKFILTER
# iptables -N CKFILTERED

フィルタの基本となるスクリプトをダウン
ロード

# wget
http://www.42ch.net/~shutoff/prog/countryfilter.pl

APNIC
から最新のデータベースをダウンロード

# wget
ftp://ftp.apnic.net/pub/apnic/stats/apnic/delegated-apnic-latest

シェ
ルスクリプトの作成(韓国と中国のみ)

# perl countryfilter.pl iptables KR,CN
< delegated-apnic-latest > filter.sh

できたスクリプトを編集

#
vi filter.sh
【11行目あたり】iptablesのパスを変更
IPTABLES=/sbin/iptables


クリプトの実行

# sh filter.sh

チェインの扱いを指定

#
iptables -A CKFILTER -j ACCEPT
# iptables -A CKFILTERED -j DROP

IP
アドレス一覧に引っかかったものをKRFILTERチェインに飛ばす

# iptables -A INPUT -p
tcp -m state –state NEW -j CKFILTER

これで設定は完了です。数日後
secureログでもみて不正アクセスのログが減っていれば成功しているかもしれません。
できれば総合的なアクセス解析のソフトを導入して経過を
見るほうがいいでしょう。

最後に、チェインを削除する手順も記述しておきます。

# iptables
-D INPUT 1
※# iptables -L INPUTで順序を確認しておくこと
# iptables -F CKFILTER
#
iptables -X CKFILTER
# iptables -F CKFILTERED
# iptables -X
CKFILTERED

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中