Скрипт для организации блокировки диапазонов IP адресов в привязке к названию страны.
Например, можно использовать для блокирования всех непрофильных сайту стран в моменты DDoS атаки
или запретить приход почты для стран с которыми явно не ведется переписка.

Список привязки IP к странам загружается с сайта http://www.ipdeny.com/ipblocks/data/countries

   #!/bin/bash
   ### Block all traffic from AFGHANISTAN (af) and CHINA (CN). Use ISO code ###
   ISO="af cn"

   ### Set PATH ###
   IPT=/sbin/iptables
   WGET=/usr/bin/wget
   EGREP=/bin/egrep

   ### No editing below ###
   SPAMLIST="countrydrop"
   ZONEROOT="/root/iptables"
   DLROOT="http://www.ipdeny.com/ipblocks/data/countries"

   cleanOldRules(){
   $IPT -F
   $IPT -X
   $IPT -t nat -F
   $IPT -t nat -X
   $IPT -t mangle -F
   $IPT -t mangle -X
   $IPT -P INPUT ACCEPT
   $IPT -P OUTPUT ACCEPT
   $IPT -P FORWARD ACCEPT
   }

   # create a dir
   [ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT

   # clean old rules
   cleanOldRules

   # create a new iptables list
   $IPT -N $SPAMLIST

   for c  in $ISO
   do
    # local zone file
    tDB=$ZONEROOT/$c.zone

    # get fresh zone file
    $WGET -O $tDB $DLROOT/$c.zone

    # country specific log message
    SPAMDROPMSG="$c Country Drop"

    # get
    BADIPS=$(egrep -v "^#|^$" $tDB)
    for ipblock in $BADIPS
    do
       $IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
       $IPT -A $SPAMLIST -s $ipblock -j DROP
    done
   done

   # Drop everything
   $IPT -I INPUT -j $SPAMLIST
   $IPT -I OUTPUT -j $SPAMLIST
   $IPT -I FORWARD -j $SPAMLIST

   # call your other iptable script
   # /path/to/other/iptables.sh

   exit 0

Вместо последовательного добавления правил, для увеличения производительности,
рекомендуется использовать систему ipset (http://ipset.netfilter.org/) или nfqueue (http://nfqueue.sf.net/)

Использовать можно примерно так:

    #!/bin/sh
    iptables -F INPUT

    ipset -N spam ipmap

    cat block_country_net_list.txt | while read net; do
       ipset -A spam --network $net
    done

    iptables -A INPUT -m set --set spam src -j REJECT

Другой эффективный вариант - использовать iptables модуль geoip (http://people.netfilter.org/peejix/geoip/),
который не входит в базовую поставку iptables и требует установки patch-o-matic и
загрузки дополнительной базы привязки к странам, например с http://www.maxmind.com/

Например, блокировка ICMP запросов из Франции, Италии и Испании будет выглядеть так:

   iptables -A OUTPUT -p icmp -m geoip --dst-cc FR,IT,ES -j REJECT

URL: http://www.cyberciti.biz/faq/block-entier-country-using-ipta.../
Обсуждается: http://www.opennet.dev/tips/info/1969.shtml