Скрипт для организации блокировки диапазонов IP адресов в привязке к названию страны.
Например, можно использовать для блокирования всех непрофильных сайту стран в моменты DDoS атаки
или запретить приход почты для стран с которыми явно не ведется переписка.

Список привязки IP к странам загружается с сайта http://www.ipdeny.com/ipblocks/data/countries

   #!/bin/bash
   ### Block all traffic from AFGHANISTAN (af) and CHINA (CN). Use ISO code ###
   ISO="af cn"

   ### Set PATH ###
   IPT=/sbin/iptables
   WGET=/usr/bin/wget
   EGREP=/bin/egrep

   ### No editing below ###
   SPAMLIST="countrydrop"
   ZONEROOT="/root/iptables"
   DLROOT="http://www.ipdeny.com/ipblocks/data/countries"

   cleanOldRules(){
   $IPT -F
   $IPT -X
   $IPT -t nat -F
   $IPT -t nat -X
   $IPT -t mangle -F
   $IPT -t mangle -X
   $IPT -P INPUT ACCEPT
   $IPT -P OUTPUT ACCEPT
   $IPT -P FORWARD ACCEPT
   }

   # create a dir
   [ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT

   # clean old rules
   cleanOldRules

   # create a new iptables list
   $IPT -N $SPAMLIST

   for c  in $ISO
   do
    # local zone file
    tDB=$ZONEROOT/$c.zone

    # get fresh zone file
    $WGET -O $tDB $DLROOT/$c.zone

    # country specific log message
    SPAMDROPMSG="$c Country Drop"

    # get
    BADIPS=$(egrep -v "^#|^$" $tDB)
    for ipblock in $BADIPS
    do
       $IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
       $IPT -A $SPAMLIST -s $ipblock -j DROP
    done
   done

   # Drop everything
   $IPT -I INPUT -j $SPAMLIST
   $IPT -I OUTPUT -j $SPAMLIST
   $IPT -I FORWARD -j $SPAMLIST

   # call your other iptable script
   # /path/to/other/iptables.sh

   exit 0

Вместо последовательного добавления правил, для увеличения производительности,
рекомендуется использовать систему ipset (http://ipset.netfilter.org/) или nfqueue (http://nfqueue.sf.net/)

Использовать можно примерно так:

    #!/bin/sh
    iptables -F INPUT

    ipset -N spam ipmap

    cat block_country_net_list.txt | while read net; do
       ipset -A spam --network $net
    done

    iptables -A INPUT -m set --set spam src -j REJECT

Другой эффективный вариант - использовать iptables модуль geoip (http://people.netfilter.org/peejix/geoip/),
который не входит в базовую поставку iptables и требует установки patch-o-matic и
загрузки дополнительной базы привязки к странам, например с http://www.maxmind.com/

Например, блокировка ICMP запросов из Франции, Италии и Испании будет выглядеть так:

   iptables -A OUTPUT -p icmp -m geoip --dst-cc FR,IT,ES -j REJECT

URL: http://www.cyberciti.biz/faq/block-entier-country-using-ipta.../
Обсуждается: http://www.opennet.me/tips/info/1969.shtml

• Скрипт для блокировки в iptables целых стран,pro100master, 13:42 , 08-Мрт-09
• Скрипт для блокировки в iptables целых стран,VecH, 22:03 , 08-Мрт-09
  • Скрипт для блокировки в iptables целых стран,rakshas, 20:12 , 09-Мрт-09
• Скрипт для блокировки в iptables целых стран,Naruto, 20:47 , 18-Июн-10
• Скрипт для блокировки в iptables целых стран,Naruto, 20:49 , 18-Июн-10
• Скрипт для блокировки в iptables целых стран,toNaruto, 03:12 , 10-Фев-11

спасибо, хорошая штука

Где можно почитать:
Как сделать что бы при входе на сайт по IP показывало страну и город (аналог cmyip.com)

Оно?
http://www.opennet.me/base/net/mod_geoip.txt.html

Здравствуйте!
Я не понял как его использовать в PHP странице (index.php)?
Нужно сохранить этот код в файле PHP и положить его рядом и прописать путь в Index.php???!
Не понятно!

Спасибо

ЕЩЁ!
А вы знаете что через переводчик типа google можно зайти на сайт?
Заблокировали Россию но зашли через переводчик.
Я думаю это реально!

Naruto, И что дальше то?