屏蔽特定国家IP地址的iptables脚本
原文转自 http://www.fomore.net/os/?p=361
方法很容易,先到 IPdeny 下载以国家代码编制好的IP地址列表,比如下载cn.zone:
# wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone有了国家的所有IP地址,要想屏蔽这些IP就很容易了,直接写个脚本逐行读取cn.zone文件并加入到iptables中:
#!/bin/bash
# Block traffic from a specific country
COUNTRY="cn"
IPTABLES=/sbin/iptables
EGREP=/bin/egrep
if [ "$(id -u)" != "0" ]; then
echo "you must be root" 1>&2
exit 1
fi
resetrules() {
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
$IPTABLES -X
}
resetrules
for c in $COUNTRY
do
country_file=$c.zone
IPS=$($EGREP -v "^#|^$" $country_file)
for ip in $IPS
do
echo "blocking $ip"
$IPTABLES -A INPUT -s $ip -j DROP
done
done
exit 0我在这个基础上做了一个改进的脚本,自用:
#!/bin/bash
# update iptables for china
ipt="iptables -t nat -A SHADOWSOCKS -d "
tails=" -j RETURN"
rm ./cn.zone*
rm ./tmp_iptables*
cat >tmp_iptables<<eof
#!/bin/bash
# Create new chain
iptables -t nat -N SHADOWSOCKS
iptables -t nat -A PREROUTING -p tcp -j SHADOWSOCKS
# Ignore your shadowsocks server's addresses
# It's very IMPORTANT, just be careful.
iptables -t nat -A SHADOWSOCKS -d xxx.xxx.xxx.xxx -j RETURN #xxx是server地址
iptables -t nat -A SHADOWSOCKS -d xxx.xxx.xxx.xxx -j RETURN # 这一步非常重要!到服务端的出口数据不要再进行重定向,否则进入死循环
# 去除内网地址
iptables -t nat -A SHADOWSOCKS -d 0.0.0.0 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 127.0.0.1 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 114.114.114.114 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 8.8.8.8 -j RETURN
iptables -t nat -A SHADOWSOCKS -d 192.168.1.0/24 -j RETURN #过滤国内流量
eof
wget http://www.ipdeny.com/ipblocks/data/countries/cn.zone
for c in `cat cn.zone`
do
z=$ipt$c$tails
echo $z >>./tmp_iptables
done
cat>>tmp_iptables<<eof
# Anything else should be redirected to shadowsocks's local port
iptables -t nat -A SHADOWSOCKS -p tcp -j REDIRECT --to-ports 1080
# Apply the rules
#iptables -t nat -A OUTPUT -p tcp -j SHADOWSOCKS
# 对于本机全局代理必须是加入到OUTPUT链中
eof
mv tmp_iptables tmp_iptables.sh
exit 0请注意,在使用这些脚本时,需要根据实际情况修改xxx.xxx.xxx.xxx为你的Shadowsocks服务器地址,并确保你有足够的权限来修改iptables规则。同时,务必小心操作,以免意外封锁自己的IP地址或导致网络中断。