GCP:GCE 海外からのアクセスを一括で拒否するFW管理スクリプト

 GCPのGCE Always Free利用時に中国及びオーストラリア宛のトラフィックは有料って注意書きがありますね。
 それ以外でも、自分の作業クラウドにどこかからアクセスが来るのはまずないのでお断りしたいという事で、GCPのファイアウォールで一括で弾くことにしています。

 そんなわけで、google cloud SDKを使って一発で日本以外全部拒否するスクリプトです(2018/10時点のIP発行先国基準)

reject_by_country.gcsh

 GZ圧縮したコマンドの羅列ファイルです。
 priority=100としてforeign-reject-国コード-xxxと言う全通信の入力拒否ファイアウォールルールを作ります(各ルールは250個のCIDRブロックを拒否します)
 SDKを入れていない場合は、GCPクラウドコンソールでCloud Shellを立ち上げて

みたいな感じでシェルに食べさせてください。
 デフォルト範囲でルールがずらずらと作成されていきます。

 旧バージョンは全世界をまとめて居ましたが、新バージョンで国コード別のルールに切り分けました。 foreign-reject-US-001等になっているので、特定の国だけ開けたいときは、grep -v US 等で対象国コードを弾いて使ったり、コンソール上でルールを無効にして開けることが出来ます。

(31)


カテゴリー: LAMP[Linux, Apache, MySQL, PHP]   パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です