web-dev-qa-db-ja.com

Amazon AWS IPからの着信トラフィックをどのようにブロックしますか?

Amazon AWS IPからのすべての受信トラフィックをブロックしたいのですが。

彼らはここにjson形式でIPアドレスのリストを公開しています: http://docs.aws.Amazon.com/general/latest/gr/aws-ip-ranges.html

Ubuntu 14.04 LTSを実行している専用サーバーがあります。

Iptablesでこれを行う方法はありますか?ルールを何らかの方法でグループ化して、関連しないルールに影響を与えずに定期的に置き換えることができますか?あるいは、これに対処するためのいくつかのより良い方法がありますか?

ありがとう!

6
zulugrid

Alienthから提供された情報を使用して、すべてのAWSトラフィックをブロックするbashスクリプトを作成しました。 GitHubで入手できます: https://github.com/corbanworks/aws-blocker

10
zulugrid

個別にフラッシュおよび更新できる新しいiptablesチェーンを作成できます。

$ iptables -N AWS
$ iptables -I INPUT 1 -j AWS

ここから、すべてのIP範囲をAWSチェーンに追加します。ルールを更新するには、単にiptables -F AWSと再入力します。例えば:

$ iptables -F AWS
$ iptables -A AWS -s 50.19.0.0/16 -j REJECT

これを自動化する場合、AWSから提供されるIPデータがどれほど信頼できるかを理解する必要があります。 JSONファイルをプルするときは、SSL証明書を適切に検証してください。 AWSが誤った形式のファイルをリリースし、ブロックしたくないものをブロックする自動化されたiptablesスクリプトが発生する可能性はまだあります。

6
alienth