前回の記事と被りますが、CentOS7になってからfirewallでの設定となりましたので、
備忘録としてやり方をメモしておきます。
(アクセスを拒否したいIPは既に決まっているという前提です。)
まず、APNICでIPアドレスがどこの国のどこの組織に属しているのか。
さらに、そのIPがどのIPアドレスのグループに属しているのかを調べます。
http://wq.apnic.net/whois-search/static/search.html
上記サイトでアクセス元のIPアドレスを入力し、検索を行った結果、
「inetnum」の項目が以下の通りだったとします。
192.168.0.0 – 192.168.255.255
ならば、アクセスしてきたIPアドレスの属するグループは 192.168.0.0/16 という事になります。
これをCIDRといいますが、CIDRの説明はここでは割愛します。
なぜアクセス元のIPアドレスが属しているグループをわざわざ調べるかというと、
1つのIPアドレスだけ拒否しても、グループに属している別のIPで同じ迷惑行為をされる可能性が高いからです。
そのため、同一グループ(組織)は丸ごと拒否してしまおうという事です。
さて、前置きが長くなりましたが、
アクセスを拒否したいCIDRも決まったので、実際にサーバ上で、拒否設定を行います。
1 2 3 4 |
# firewallで指定CIDRを拒否 firewall-cmd --zone=drop --permanent --add-source=[cidr] # 再起動 systemctl restart firewalld.service |
以上です。
指定のCIDRが拒否されているかは、以下のコマンドで確認できます。
1 |
firewall-cmd --get-active-zones |
非常に単純ですね。
★誤って自分のIPを拒否してしまうと、サーバにログイン出来なくなってしまうので、くれぐれもご注意ください。★