我有一个只与美国访问者有关的网站,并希望阻止所有非美国访问者访问该网站。 如果我有一个美国IP块的CIDR列表,最好的办法是用iptables来做到这一点?
最简单的方法是默认阻止所有stream量,然后只允许美国范围。 过去我使用过这个网站来获取各国的IP范围。 在iptables中,您可以折扣$ US_IPS的接受规则,然后定义它们。 只是作为一个警告,这是很多的IP,并可能放慢你的防火墙取决于硬件规格和stream量的数量,因为规则必须查看这么多的IP每次。 如果有一些特定的IP攻击你的防火墙很多,你可能希望把这个规则放在这个接受规则之上,这样它就不必每次都处理这个巨大的IP列表。
尽pipe默认情况下可能更容易阻止所有的数据,但这也意味着除非您勤于保持表格的最新状态,否则任何新分配的美国地址都将被阻止。