最近、島問題の影響のようでさくらVPS
やお名前.com VPS(KVM)
のホストにも大陸や半島方面からのDoS的なアクセスがままあってそのたびにホスト制限していたのですが、面倒くさいので、アドレス割り当て情報から大陸と半島からのアクセスを制限するためのiptables設定をしました。
-Aじゃなくて-Iなのは、許可ルール以前にこのIPを拒否したいため。
シェル実行してから /etc/init.d/iptables save で保存できる。
ドロップしたパケットを記録したい場合は、
-N LOGDROP
-A LOGDROP -j LOG –log-prefix “[iptables drop]”
-A LOGDROP -j DROP
みたいに、新しい挙動LOGDROPを定義して、LOGDROP挙同時にはLOGってDROPする動きにする。
で、従来の-j DROPの代わりに-j LOGDROPにしてやると、messagesログファイルにドロップした情報が記録されるようになる。
LOGDROPを定義せずにLOGって、DROPしてを繰り返し書いても良いけど、数が多いときはこの方が楽。
(1041)
