中国割り当て CIDR からの接続を拒否する

あまりに中国割り当て CIDR 経由からの Open HTTP Proxy を探すアクセスが多いため、中国割り当て CIDR からの 80 Port へのアクセスを拒否してみる。

(1) フィルタ方法

フィルタは、iptables で src net を指定して行う。
:IN-HTTP – [0:0]
-A INPUT -m state –state NEW -m tcp -p tcp –dport 80 -j IN-HTTP
-A IN-HTTP -s $CIDR -j REJECT
-A IN-HTTP -j ACCEPT

(2) CIDR 情報の入手

CIDR 情報は、www.completewhois.com にあるものを使用する。
　→ http://www.completewhois.com/statistics/data/ips-bycountry/rirstats/CN-cidr.txt

(3) フィルタ生成シェルスクリプト

結構な数があるので、手で書いてると日が暮れるため、シェルスクリプトにする。

reject_cn-cidr_for_iptables.sh

#!/bin/bash
LANG=C
CNCIDR="http://www.completewhois.com/statistics/data/ips-bycountry/rirstats/CN-cidr.txt"

for CIDR in `wget $CNCIDR -O - 2>/dev/null | grep -v "^#"`
do
  echo "-A IN-HTTP -s $CIDR -j REJECT"
done

実行結果

-A IN-HTTP -s 58.14.0.0/15 -j REJECT
-A IN-HTTP -s 58.16.0.0/13 -j REJECT
-A IN-HTTP -s 58.24.0.0/15 -j REJECT
-A IN-HTTP -s 58.30.0.0/15 -j REJECT
-A IN-HTTP -s 58.32.0.0/12 -j REJECT
-A IN-HTTP -s 58.48.0.0/13 -j REJECT
-A IN-HTTP -s 58.56.0.0/15 -j REJECT
-A IN-HTTP -s 58.58.0.0/16 -j REJECT
-A IN-HTTP -s 58.59.0.0/17 -j REJECT
-A IN-HTTP -s 58.60.0.0/14 -j REJECT
-A IN-HTTP -s 58.66.0.0/15 -j REJECT
-A IN-HTTP -s 58.82.0.0/15 -j REJECT
-A IN-HTTP -s 58.87.64.0/18 -j REJECT
-A IN-HTTP -s 58.100.0.0/15 -j REJECT
-A IN-HTTP -s 58.116.0.0/14 -j REJECT
-A IN-HTTP -s 58.128.0.0/13 -j REJECT
-A IN-HTTP -s 58.144.0.0/16 -j REJECT
-A IN-HTTP -s 58.192.0.0/14 -j REJECT
-A IN-HTTP -s 58.196.0.0/15 -j REJECT
-A IN-HTTP -s 58.200.0.0/13 -j REJECT
-A IN-HTTP -s 58.208.0.0/12 -j REJECT
-A IN-HTTP -s 58.240.0.0/12 -j REJECT
-A IN-HTTP -s 59.32.0.0/11 -j REJECT
-A IN-HTTP -s 59.64.0.0/12 -j REJECT
-A IN-HTTP -s 59.80.0.0/14 -j REJECT
-A IN-HTTP -s 59.107.0.0/17 -j REJECT
-A IN-HTTP -s 59.108.0.0/15 -j REJECT
-A IN-HTTP -s 59.151.0.0/17 -j REJECT
-A IN-HTTP -s 59.191.0.0/17 -j REJECT
-A IN-HTTP -s 59.192.0.0/10 -j REJECT
-A IN-HTTP -s 60.0.0.0/13 -j REJECT
-A IN-HTTP -s 60.8.0.0/14 -j REJECT
-A IN-HTTP -s 60.12.0.0/16 -j REJECT
-A IN-HTTP -s 60.13.0.0/18 -j REJECT
-A IN-HTTP -s 60.13.128.0/17 -j REJECT
-A IN-HTTP -s 60.14.0.0/15 -j REJECT
-A IN-HTTP -s 60.16.0.0/12 -j REJECT
-A IN-HTTP -s 60.55.0.0/16 -j REJECT
-A IN-HTTP -s 60.63.0.0/16 -j REJECT
-A IN-HTTP -s 60.160.0.0/11 -j REJECT
-A IN-HTTP -s 60.194.0.0/15 -j REJECT
-A IN-HTTP -s 60.200.0.0/14 -j REJECT
-A IN-HTTP -s 60.204.0.0/16 -j REJECT
-A IN-HTTP -s 60.208.0.0/12 -j REJECT
-A IN-HTTP -s 60.232.0.0/15 -j REJECT
-A IN-HTTP -s 60.255.0.0/16 -j REJECT
-A IN-HTTP -s 61.4.64.0/20 -j REJECT
-A IN-HTTP -s 61.28.0.0/17 -j REJECT
-A IN-HTTP -s 61.29.128.0/17 -j REJECT
-A IN-HTTP -s 61.45.128.0/18 -j REJECT
-A IN-HTTP -s 61.47.128.0/18 -j REJECT
-A IN-HTTP -s 61.48.0.0/13 -j REJECT
-A IN-HTTP -s 61.128.0.0/10 -j REJECT
-A IN-HTTP -s 61.232.0.0/14 -j REJECT
-A IN-HTTP -s 61.236.0.0/15 -j REJECT
-A IN-HTTP -s 61.240.0.0/14 -j REJECT
-A IN-HTTP -s 125.32.0.0/16 -j REJECT
-A IN-HTTP -s 125.64.0.0/13 -j REJECT
-A IN-HTTP -s 125.80.0.0/12 -j REJECT
-A IN-HTTP -s 125.96.0.0/15 -j REJECT
-A IN-HTTP -s 125.98.0.0/16 -j REJECT
-A IN-HTTP -s 125.104.0.0/13 -j REJECT
-A IN-HTTP -s 125.112.0.0/12 -j REJECT
-A IN-HTTP -s 134.196.0.0/16 -j REJECT
-A IN-HTTP -s 159.226.0.0/16 -j REJECT
-A IN-HTTP -s 161.207.0.0/16 -j REJECT
-A IN-HTTP -s 162.105.0.0/16 -j REJECT
-A IN-HTTP -s 166.111.0.0/16 -j REJECT
-A IN-HTTP -s 167.139.0.0/16 -j REJECT
-A IN-HTTP -s 168.160.0.0/16 -j REJECT
-A IN-HTTP -s 192.83.122.0/24 -j REJECT
-A IN-HTTP -s 192.83.169.0/24 -j REJECT
-A IN-HTTP -s 192.124.154.0/24 -j REJECT
-A IN-HTTP -s 192.188.170.0/24 -j REJECT
-A IN-HTTP -s 198.17.7.0/24 -j REJECT
-A IN-HTTP -s 202.0.110.0/24 -j REJECT
-A IN-HTTP -s 202.0.160.0/20 -j REJECT
-A IN-HTTP -s 202.0.176.0/22 -j REJECT
-A IN-HTTP -s 202.3.77.0/24 -j REJECT
-A IN-HTTP -s 202.4.128.0/19 -j REJECT
-A IN-HTTP -s 202.4.252.0/22 -j REJECT
-A IN-HTTP -s 202.8.128.0/19 -j REJECT
-A IN-HTTP -s 202.10.64.0/20 -j REJECT
-A IN-HTTP -s 202.14.88.0/24 -j REJECT
-A IN-HTTP -s 202.14.235.0/24 -j REJECT
-A IN-HTTP -s 202.14.236.0/23 -j REJECT
-A IN-HTTP -s 202.14.238.0/24 -j REJECT
-A IN-HTTP -s 202.20.120.0/24 -j REJECT
-A IN-HTTP -s 202.22.248.0/21 -j REJECT
-A IN-HTTP -s 202.38.0.0/20 -j REJECT
-A IN-HTTP -s 202.38.64.0/18 -j REJECT
-A IN-HTTP -s 202.38.128.0/21 -j REJECT
-A IN-HTTP -s 202.38.136.0/23 -j REJECT
-A IN-HTTP -s 202.38.138.0/24 -j REJECT
-A IN-HTTP -s 202.38.140.0/22 -j REJECT
-A IN-HTTP -s 202.38.144.0/22 -j REJECT
-A IN-HTTP -s 202.38.149.0/24 -j REJECT
-A IN-HTTP -s 202.38.150.0/23 -j REJECT
-A IN-HTTP -s 202.38.152.0/22 -j REJECT
-A IN-HTTP -s 202.38.156.0/24 -j REJECT
-A IN-HTTP -s 202.38.158.0/23 -j REJECT
-A IN-HTTP -s 202.38.160.0/23 -j REJECT
-A IN-HTTP -s 202.38.164.0/22 -j REJECT
-A IN-HTTP -s 202.38.168.0/21 -j REJECT
-A IN-HTTP -s 202.38.176.0/23 -j REJECT
-A IN-HTTP -s 202.38.184.0/21 -j REJECT
-A IN-HTTP -s 202.38.192.0/18 -j REJECT
-A IN-HTTP -s 202.41.152.0/21 -j REJECT
-A IN-HTTP -s 202.43.144.0/20 -j REJECT
-A IN-HTTP -s 202.46.32.0/19 -j REJECT
-A IN-HTTP -s 202.46.224.0/20 -j REJECT
-A IN-HTTP -s 202.60.112.0/20 -j REJECT
-A IN-HTTP -s 202.63.248.0/22 -j REJECT
-A IN-HTTP -s 202.69.4.0/22 -j REJECT
-A IN-HTTP -s 202.69.16.0/20 -j REJECT
-A IN-HTTP -s 202.70.0.0/19 -j REJECT
-A IN-HTTP -s 202.74.8.0/21 -j REJECT
-A IN-HTTP -s 202.75.208.0/20 -j REJECT
-A IN-HTTP -s 202.85.208.0/20 -j REJECT
-A IN-HTTP -s 202.90.0.0/22 -j REJECT
-A IN-HTTP -s 202.90.224.0/20 -j REJECT
-A IN-HTTP -s 202.90.252.0/22 -j REJECT
-A IN-HTTP -s 202.91.0.0/22 -j REJECT
-A IN-HTTP -s 202.91.128.0/22 -j REJECT
-A IN-HTTP -s 202.91.176.0/20 -j REJECT
-A IN-HTTP -s 202.92.0.0/22 -j REJECT
-A IN-HTTP -s 202.92.252.0/22 -j REJECT
-A IN-HTTP -s 202.93.0.0/22 -j REJECT
-A IN-HTTP -s 202.93.252.0/22 -j REJECT
-A IN-HTTP -s 202.94.0.0/19 -j REJECT
-A IN-HTTP -s 202.95.0.0/19 -j REJECT
-A IN-HTTP -s 202.95.252.0/22 -j REJECT
-A IN-HTTP -s 202.96.0.0/12 -j REJECT
-A IN-HTTP -s 202.112.0.0/13 -j REJECT
-A IN-HTTP -s 202.120.0.0/15 -j REJECT
-A IN-HTTP -s 202.122.0.0/21 -j REJECT
-A IN-HTTP -s 202.122.32.0/21 -j REJECT
-A IN-HTTP -s 202.122.64.0/19 -j REJECT
-A IN-HTTP -s 202.122.112.0/21 -j REJECT
-A IN-HTTP -s 202.122.128.0/24 -j REJECT
-A IN-HTTP -s 202.123.96.0/20 -j REJECT
-A IN-HTTP -s 202.125.176.0/20 -j REJECT
-A IN-HTTP -s 202.127.0.0/21 -j REJECT
-A IN-HTTP -s 202.127.12.0/22 -j REJECT
-A IN-HTTP -s 202.127.16.0/20 -j REJECT
-A IN-HTTP -s 202.127.40.0/21 -j REJECT
-A IN-HTTP -s 202.127.48.0/20 -j REJECT
-A IN-HTTP -s 202.127.112.0/20 -j REJECT
-A IN-HTTP -s 202.127.128.0/19 -j REJECT
-A IN-HTTP -s 202.127.160.0/21 -j REJECT
-A IN-HTTP -s 202.127.192.0/20 -j REJECT
-A IN
-HTTP -s 202.127.208.0/23 -j REJECT
-A IN-HTTP -s 202.127.212.0/22 -j REJECT
-A IN-HTTP -s 202.127.216.0/21 -j REJECT
-A IN-HTTP -s 202.127.224.0/19 -j REJECT
-A IN-HTTP -s 202.130.0.0/19 -j REJECT
-A IN-HTTP -s 202.130.224.0/19 -j REJECT
-A IN-HTTP -s 202.131.16.0/21 -j REJECT
-A IN-HTTP -s 202.131.48.0/20 -j REJECT
-A IN-HTTP -s 202.131.208.0/20 -j REJECT
-A IN-HTTP -s 202.136.48.0/20 -j REJECT
-A IN-HTTP -s 202.136.208.0/20 -j REJECT
-A IN-HTTP -s 202.136.224.0/20 -j REJECT
-A IN-HTTP -s 202.136.252.0/22 -j REJECT
-A IN-HTTP -s 202.142.16.0/20 -j REJECT
-A IN-HTTP -s 202.143.16.0/20 -j REJECT
-A IN-HTTP -s 202.148.96.0/19 -j REJECT
-A IN-HTTP -s 202.149.160.0/19 -j REJECT
-A IN-HTTP -s 202.149.224.0/19 -j REJECT
-A IN-HTTP -s 202.150.16.0/20 -j REJECT
-A IN-HTTP -s 202.152.176.0/20 -j REJECT
-A IN-HTTP -s 202.153.48.0/20 -j REJECT
-A IN-HTTP -s 202.158.160.0/19 -j REJECT
-A IN-HTTP -s 202.164.0.0/20 -j REJECT
-A IN-HTTP -s 202.165.96.0/20 -j REJECT
-A IN-HTTP -s 202.168.160.0/19 -j REJECT
-A IN-HTTP -s 202.170.128.0/19 -j REJECT
-A IN-HTTP -s 202.173.8.0/21 -j REJECT
-A IN-HTTP -s 202.173.224.0/19 -j REJECT
-A IN-HTTP -s 202.180.128.0/19 -j REJECT
-A IN-HTTP -s 202.192.0.0/12 -j REJECT
-A IN-HTTP -s 203.79.0.0/20 -j REJECT
-A IN-HTTP -s 203.81.16.0/20 -j REJECT
-A IN-HTTP -s 203.86.0.0/18 -j REJECT
-A IN-HTTP -s 203.86.64.0/19 -j REJECT
-A IN-HTTP -s 203.88.32.0/19 -j REJECT
-A IN-HTTP -s 203.88.192.0/19 -j REJECT
-A IN-HTTP -s 203.89.0.0/22 -j REJECT
-A IN-HTTP -s 203.90.0.0/22 -j REJECT
-A IN-HTTP -s 203.90.128.0/18 -j REJECT
-A IN-HTTP -s 203.90.192.0/19 -j REJECT
-A IN-HTTP -s 203.91.32.0/19 -j REJECT
-A IN-HTTP -s 203.91.96.0/20 -j REJECT
-A IN-HTTP -s 203.92.0.0/22 -j REJECT
-A IN-HTTP -s 203.92.160.0/19 -j REJECT
-A IN-HTTP -s 203.93.0.0/16 -j REJECT
-A IN-HTTP -s 203.94.0.0/19 -j REJECT
-A IN-HTTP -s 203.95.0.0/21 -j REJECT
-A IN-HTTP -s 203.95.96.0/20 -j REJECT
-A IN-HTTP -s 203.100.32.0/20 -j REJECT
-A IN-HTTP -s 203.100.96.0/19 -j REJECT
-A IN-HTTP -s 203.110.160.0/19 -j REJECT
-A IN-HTTP -s 203.118.192.0/19 -j REJECT
-A IN-HTTP -s 203.119.24.0/21 -j REJECT
-A IN-HTTP -s 203.119.32.0/22 -j REJECT
-A IN-HTTP -s 203.128.32.0/19 -j REJECT
-A IN-HTTP -s 203.128.96.0/19 -j REJECT
-A IN-HTTP -s 203.128.128.0/19 -j REJECT
-A IN-HTTP -s 203.130.32.0/19 -j REJECT
-A IN-HTTP -s 203.132.32.0/19 -j REJECT
-A IN-HTTP -s 203.134.240.0/21 -j REJECT
-A IN-HTTP -s 203.135.96.0/20 -j REJECT
-A IN-HTTP -s 203.135.160.0/20 -j REJECT
-A IN-HTTP -s 203.148.0.0/18 -j REJECT
-A IN-HTTP -s 203.152.64.0/19 -j REJECT
-A IN-HTTP -s 203.156.192.0/18 -j REJECT
-A IN-HTTP -s 203.175.128.0/19 -j REJECT
-A IN-HTTP -s 203.175.192.0/18 -j REJECT
-A IN-HTTP -s 203.187.160.0/19 -j REJECT
-A IN-HTTP -s 203.191.64.0/18 -j REJECT
-A IN-HTTP -s 203.192.0.0/19 -j REJECT
-A IN-HTTP -s 203.196.0.0/21 -j REJECT
-A IN-HTTP -s 203.207.64.0/18 -j REJECT
-A IN-HTTP -s 203.207.128.0/17 -j REJECT
-A IN-HTTP -s 203.208.0.0/20 -j REJECT
-A IN-HTTP -s 203.208.16.0/22 -j REJECT
-A IN-HTTP -s 203.212.0.0/20 -j REJECT
-A IN-HTTP -s 203.222.192.0/20 -j REJECT
-A IN-HTTP -s 203.223.0.0/20 -j REJECT
-A IN-HTTP -s 210.2.0.0/19 -j REJECT
-A IN-HTTP -s 210.5.0.0/19 -j REJECT
-A IN-HTTP -s 210.5.128.0/20 -j REJECT
-A IN-HTTP -s 210.12.0.0/15 -j REJECT
-A IN-HTTP -s 210.14.64.0/19 -j REJECT
-A IN-HTTP -s 210.14.160.0/19 -j REJECT
-A IN-HTTP -s 210.14.192.0/18 -j REJECT
-A IN-HTTP -s 210.15.0.0/17 -j REJECT
-A IN-HTTP -s 210.15.128.0/18 -j REJECT
-A IN-HTTP -s 210.16.128.0/18 -j REJECT
-A IN-HTTP -s 210.21.0.0/16 -j REJECT
-A IN-HTTP -s 210.22.0.0/16 -j REJECT
-A IN-HTTP -s 210.25.0.0/16 -j REJECT
-A IN-HTTP -s 210.26.0.0/15 -j REJECT
-A IN-HTTP -s 210.28.0.0/14 -j REJECT
-A IN-HTTP -s 210.32.0.0/12 -j REJECT
-A IN-HTTP -s 210.51.0.0/16 -j REJECT
-A IN-HTTP -s 210.52.0.0/15 -j REJECT
-A IN-HTTP -s 210.56.192.0/19 -j REJECT
-A IN-HTTP -s 210.72.0.0/14 -j REJECT
-A IN-HTTP -s 210.76.0.0/15 -j REJECT
-A IN-HTTP -s 210.78.0.0/16 -j REJECT
-A IN-HTTP -s 210.79.64.0/18 -j REJECT
-A IN-HTTP -s 210.79.224.0/19 -j REJECT
-A IN-HTTP -s 210.82.0.0/15 -j REJECT
-A IN-HTTP -s 210.87.128.0/18 -j REJECT
-A IN-HTTP -s 210.185.192.0/18 -j REJECT
-A IN-HTTP -s 210.192.96.0/19 -j REJECT
-A IN-HTTP -s 210.211.0.0/20 -j REJECT
-A IN-HTTP -s 211.64.0.0/13 -j REJECT
-A IN-HTTP -s 211.80.0.0/12 -j REJECT
-A IN-HTTP -s 211.96.0.0/13 -j REJECT
-A IN-HTTP -s 211.136.0.0/13 -j REJECT
-A IN-HTTP -s 211.144.0.0/12 -j REJECT
-A IN-HTTP -s 211.160.0.0/13 -j REJECT
-A IN-HTTP -s 218.0.0.0/11 -j REJECT
-A IN-HTTP -s 218.56.0.0/13 -j REJECT
-A IN-HTTP -s 218.64.0.0/11 -j REJECT
-A IN-HTTP -s 218.96.0.0/14 -j REJECT
-A IN-HTTP -s 218.104.0.0/14 -j REJECT
-A IN-HTTP -s 218.108.0.0/15 -j REJECT
-A IN-HTTP -s 218.185.192.0/19 -j REJECT
-A IN-HTTP -s 218.192.0.0/12 -j REJECT
-A IN-HTTP -s 218.240.0.0/13 -j REJECT
-A IN-HTTP -s 218.249.0.0/16 -j REJECT
-A IN-HTTP -s 219.72.0.0/16 -j REJECT
-A IN-HTTP -s 219.82.0.0/16 -j REJECT
-A IN-HTTP -s 219.128.0.0/11 -j REJECT
-A IN-HTTP -s 219.216.0.0/13 -j REJECT
-A IN-HTTP -s 219.224.0.0/12 -j REJECT
-A IN-HTTP -s 219.242.0.0/15 -j REJECT
-A IN-HTTP -s 219.244.0.0/14 -j REJECT
-A IN-HTTP -s 220.101.192.0/18 -j REJECT
-A IN-HTTP -s 220.112.0.0/14 -j REJECT
-A IN-HTTP -s 220.160.0.0/11 -j REJECT
-A IN-HTTP -s 220.192.0.0/12 -j REJECT
-A IN-HTTP -s 220.231.0.0/18 -j REJECT
-A IN-HTTP -s 220.231.128.0/17 -j REJECT
-A IN-HTTP -s 220.232.64.0/18 -j REJECT
-A IN-HTTP -s 220.234.0.0/16 -j REJECT
-A IN-HTTP -s 220.248.0.0/14 -j REJECT
-A IN-HTTP -s 220.252.0.0/16 -j REJECT
-A IN-HTTP -s 221.0.0.0/13 -j REJECT
-A IN-HTTP -s 221.8.0.0/15 -j REJECT
-A IN-HTTP -s 221.10.0.0/16 -j REJECT
-A IN-HTTP -s 221.11.0.0/17 -j REJECT
-A IN-HTTP -s 221.11.128.0/18 -j REJECT
-A IN-HTTP -s 221.11.192.0/19 -j REJECT
-A IN-HTTP -s 221.12.0.0/17 -j REJECT
-A IN-HTTP -s 221.12.128.0/18 -j REJECT
-A IN-HTTP -s 221.13.0.0/16 -j REJECT
-A IN-HTTP -s 221.14.0.0/15 -j REJECT
-A IN-HTTP -s 221.122.0.0/15 -j REJECT
-A IN-HTTP -s 221.129.0.0/16 -j REJECT
-A IN-HTTP -s 221.130.0.0/15 -j REJECT
-A IN-HTTP -s 221.136.0.0/15 -j REJECT
-A IN-HTTP -s 221.172.0.0/14 -j REJECT
-A IN-HTTP -s 221.176.0.0/13 -j REJECT
-A IN-HTTP -s 221.192.0.0/14 -j REJECT
-A IN-HTTP -s 221.196.0.0/15 -j REJECT
-A IN-HTTP -s 221.198.0.0/16 -j REJECT
-A IN-HTTP -s 221.199.0.0/19 -j REJECT
-A IN-HTTP -s 221.199.32.0/20 -j REJECT
-A IN-HTTP -s 221.199.128.0/18 -j REJECT
-A IN-HTTP -s 221.199.192.0/20 -j REJECT
-A IN-HTTP -s 221.200.0.0/13 -j REJECT
-A IN-HTTP -s 221.208.0.0/12 -j REJECT
-A IN-HTTP -s 221.224.0.0/12 -j REJECT
-A IN-HTTP -s 222.16.0.0/12 -j REJECT
-A IN-HTTP -s 222.32.0.0/11 -j REJECT
-A IN-HTTP -s 222.64.0.0/11 -j REJECT
-A IN-HTTP -s 222.125.0.0/16 -j REJECT
-A IN-HTTP -s 222.128.0.0/12 -j REJECT
-A IN-HTTP -s 222.160.0.0/14 -j REJECT
-A IN-HTTP -s 222.168.0.0/13 -j REJECT
-A IN-HTTP -s 222.176.0.0/12 -j REJECT
-A IN-HTTP -s 222.192.0.0/11 -j REJECT
-A IN-HTTP -s 222.240.0.0/13 -j REJECT
-A IN-HTTP -s 222.248.0.0/15 -j REJECT