私は今年2回、中国の万里のファイアウォールのDDos攻撃を受けました。
次に、以下からゾーンファイルをダウンロードします。http://www.ipdeny.com/ipblocks/私はこのようなことをしたいと思います:
- 誰もが私のサーバーの特定のポートに接続したい場合は入ることができます。
- 中国から来た誰かが私のサーバーの他のポートに接続したい場合は、すべてのパケットを破棄する必要があります。他の国の誰でも私のサーバーに正しく接続できます。
どうですか?
Cloudflare CDN無料プランを使用していますが、私のサーバーでのみ上記の作業をしたいと思います。
ベストアンサー1
これを使用すると、最初iptablesに一致するルールが返されます。たとえば、http を許可して中国の他のポートを拒否するには、http 許可ルールが最初に来る必要があります。
iptables -A INPUT -d myhost --dport 80 -j ACCEPT
iptables -A INPUT -m set --match-set china src -j DROP
ipset上記のステートメントを使用して、次のコマンドを使用して中国語を生成する必要があります。
ipset create china hash:net
while read line; do ipset add china $line; done < china.ipblock-file