2015年1月29日木曜日

ufw: reject china

これまでうちのプライベートサーバーさんにはChinaだからブロックといった事はせずに、メールであればSpamAssassin先生とprocmail先生にがんばって頂いていました。
が、どうやらうちの子のベイジアンフィルターはイケメンに育ち過ぎてしまったらしく、ホワイトリスト無しでは取引先からのメールもURLがちょろちょろ入っただけで容赦無くSpam判定するほどに。不動産屋や引越し業者からのメールも見事にSpamへ。素晴らしい^^;
安全のため、SpamからHamを探す手間が掛かるようになりました。
毎日100通どころではないSpamがほぼほぼChinaのホストから来ているのですが、幸い私のチャイニーズの友達にChinaのホストからメールしてくるような方は今のところ居ないし、いい加減にしなさいという事でChinaをufwレベルで完全にブロックする事にしました。
IP2LOCATION
http://www.ip2location.com/free/visitor-blocker
ここでカントリーベースのIPリストをいくつかのフォーマットで生成できます。CIDRフォーマットで回収するとします。
回収したカントリーベースのIPリストをsudo ufw reject from します。
しますが、量が多いのでワンライナー書いてしばらく待つ。rejectにするかdenyにするかはお好きなように。
while read line; do sudo ufw reject from $line; done < cidr-0987e8ec7eda66eb27ed43af45fafc51.txt
これだとRule addedが長いこと淡々と続きますが、その後、100%スパムやポートスキャンやブルートフォースアタックしか来ないChinaとはオ・サ・ラ・バです。
ちなみに、どれくらい長いかというとChinaをブロックするには4377個のネットワークアドレスをブロックする事になり、上記ワンライナーだと数分どころではなく掛かるようです。急ぐ必要も無いのでしばらく待ち。
はやい方法も記事末掲載の参考にありましたので気になる方はどうぞ。
もうこれからは業務用のサーバーもChinaはデフォルトブロックで必要が生じたらホワイトリストにしようかな。そんな事をいまさらですが思いました。
参考: Blocking Countries with UFW and IPTABLES – The easy method
http://www.tbogard.com/2013/11/20/blocking-countries-with-ufw-and-iptables-the-easy-method/

0 件のコメント:

コメントを投稿