如何將 OpenBSD pf 配置為僅允許來自給定國家的入站？

我有一個 OpenBSD 5.2 機器，它在埠 80 上執行網路伺服器，在埠 2222 上執行 SSHD 伺服器。

如何將 OpenBSD 的 pf 配置為僅允許從給定國家/地區連接到埠 80 和 2222？

簡短的回答：網際網路不是這樣工作的

更長的答案：每個國家/地區的 IP 地址塊沒有整齊劃定。就 IPv4 而言，上級組織 IANA 將地址塊分配（過去時 - 它們超出了塊）給各種 NIC，這些 NIC 在非常廣泛的區域中執行，如您在此處看到的。然後，他們根據 ISP 所說的他們需要什麼，根據具體情況將 IP 塊分配給 ISP——在這個級別上，他們通常與之交易的 ISP 往往跨越國界。

我不熟悉與pflinux 相對的確切細節，iptables但我有理由確定它們都在 IP/netblock 基礎上工作。也許您可以通過瀏覽地理定位數據庫來列出幾乎可以肯定是某個國家或其他國家獨有的所有網路塊的列表，但我不會打賭。

更諷刺的是，您可能想向伊朗或中國政府詢問他們如何嘗試處理它的建議，但我不會將他們中的任何一個作為正確使用網際網路的榜樣……

引用自：https://unix.stackexchange.com/questions/62042