前回の記事と被りますが、CentOS7になってからfirewallでの設定となりましたので、
備忘録としてやり方をメモしておきます。
(アクセスを拒否したいIPは既に決まっているという前提です。)

まず、APNICでIPアドレスがどこの国のどこの組織に属しているのか。
さらに、そのIPがどのIPアドレスのグループに属しているのかを調べます。
http://wq.apnic.net/whois-search/static/search.html

上記サイトでアクセス元のIPアドレスを入力し、検索を行った結果、
「inetnum」の項目が以下の通りだったとします。
192.168.0.0 – 192.168.255.255

ならば、アクセスしてきたIPアドレスの属するグループは 192.168.0.0/16 という事になります。
これをCIDRといいますが、CIDRの説明はここでは割愛します。

なぜアクセス元のIPアドレスが属しているグループをわざわざ調べるかというと、
1つのIPアドレスだけ拒否しても、グループに属している別のIPで同じ迷惑行為をされる可能性が高いからです。
そのため、同一グループ(組織)は丸ごと拒否してしまおうという事です。

さて、前置きが長くなりましたが、
アクセスを拒否したいCIDRも決まったので、実際にサーバ上で、拒否設定を行います。

# firewallで指定CIDRを拒否
firewall-cmd --zone=drop --permanent --add-source=[cidr]
# 再起動
systemctl restart firewalld.service

以上です。
指定のCIDRが拒否されているかは、以下のコマンドで確認できます。

firewall-cmd --get-active-zones

非常に単純ですね。
★誤って自分のIPを拒否してしまうと、サーバにログイン出来なくなってしまうので、くれぐれもご注意ください。★