Amazon AWS IPからの着信トラフィックをどのようにブロックしますか？

Question

Amazon AWS IPからのすべての受信トラフィックをブロックしたいのですが。

彼らはここにjson形式でIPアドレスのリストを公開しています： http://docs.aws.Amazon.com/general/latest/gr/aws-ip-ranges.html

Ubuntu 14.04 LTSを実行している専用サーバーがあります。

Iptablesでこれを行う方法はありますか？ルールを何らかの方法でグループ化して、関連しないルールに影響を与えずに定期的に置き換えることができますか？あるいは、これに対処するためのいくつかのより良い方法がありますか？

ありがとう！

zulugrid · Accepted Answer

Alienthから提供された情報を使用して、すべてのAWSトラフィックをブロックするbashスクリプトを作成しました。 GitHubで入手できます： https://github.com/corbanworks/aws-blocker

alienth · Answer

個別にフラッシュおよび更新できる新しいiptablesチェーンを作成できます。

$ iptables -N AWS $ iptables -I INPUT 1 -j AWS

ここから、すべてのIP範囲をAWSチェーンに追加します。ルールを更新するには、単にiptables -F AWSと再入力します。例えば：

$ iptables -F AWS $ iptables -A AWS -s 50.19.0.0/16 -j REJECT

これを自動化する場合、AWSから提供されるIPデータがどれほど信頼できるかを理解する必要があります。 JSONファイルをプルするときは、SSL証明書を適切に検証してください。 AWSが誤った形式のファイルをリリースし、ブロックしたくないものをブロックする自動化されたiptablesスクリプトが発生する可能性はまだあります。