CentOS7インストール St.2 - Firewalld
CATEGORY LINUX
CONTENT
CONTENT
1.Firewalld構築
CentOS7から実装されたFirewalldでFirewallを構築していきます。
IPV4/IPV6の国別IPを精製し、特定の国をブロックするFirewallを作ります。
今回はブラックリストDROP前提で書いていますが、ホワイトリストACCEPTにJPを設定して日本のみ接続可能なFirewalldを構築することも可能です。
ですが、GoogleBOTのIPが非公開の為ブラックリストのFirewalldで良いかと思います。
■Google https://support.google.com/webmasters/answer/80553?hl=ja
ファイル・スクリプト
ディレクトリ/root/firewalldに、メインのシェルスクリプトと、
国別ipリストを精製するphpを5ファイル作成します。
[firewall.sh]
[ipv4_cidr_client_01.php]
[ipv4_cidr_client_02.php]
[ipv4_cidr_client_03.php]
[ipv6_cidr_client_01.php]
[ipv6_cidr_client_02.php]
[ ipv4_cidr_client_01.php ]で、wgetコマンドを使用してapnicから世界のipアドレスを取得し他のphpで整頓し精製してくれています。これはOXYNOTEさんのをほぼそのまま使用させて頂いております。
参考元サイト : OXYNOTE 自前の国別IPv6、IPv4アドレス割当リストを作成しよう
#firewalldディレクトリ作成 mkdir /root/firewalld/ #phpインストール yum install php php-mbstring # wgetインストール yum install wget # firewalld.sh vi /root/firewalld/firewalld.sh
firewalld.sh
ipアドレス・メールアドレスは任意変更。 メールアドレスはSt1で設定したメールアドレスに変更してください。
#!/bin/bash #-------------------------------------------------------------------------------# # firewalld設定用シェルスクリプト - 国別ipリストも精製する。 # 管理者用のzoneは[manage]でdrop、固定ip[192.168.1.3]のみアクセス許可。 # 公開用のzoneは[public]でdefault、国別ipsetを作成しdrop。 # 1.国別ipリスト # ipv4_cidr_client_01~03.phpでipv4_cidr.txtを精製 # ipv6_cidr_client_01~02.phpでipv6_cidr.txtを精製 # ACCEPT_COUNTRY関数・DROP_COUNTRY関数でipリストを作成し、ipsetを作成して各設定に使用する。 # ※※※固定ipアドレス[192.168.1.3]・このスクリプトとipv4_cidr_client_03のipv6_cidr_client_02メールアドレスを変更する事。※※ #-------------------------------------------------------------------------------# #-------------------------------------------------------------------------------# # 1. ipv4_cidr.txt/ipv6_cidr.txtを精製 #-------------------------------------------------------------------------------# php /root/firewalld/ipv4_cidr_client_01.php php /root/firewalld/ipv4_cidr_client_02.php php /root/firewalld/ipv4_cidr_client_03.php php /root/firewalld/ipv6_cidr_client_01.php php /root/firewalld/ipv6_cidr_client_02.php #-------------------------------------------------------------------------------# # 2. DROP_COUNTRY関数 # ipv4_cidr.txt/ipv6_cidr.txtから[drop_country_ipv4][drop_country_ipv6]を精製。 # # ipv4_cidr.txtのDROP対象国[$country]から始まる行を、 # コマンドawk(オプションの[-F]無しだと、区切り文字タブorスペースになる)で # $2(2フィールド目)のipを出力してdrop_country_ipv4に追記していく。 # 国を追加したい場合はCOUNTRYLISTにスペースを入れて国名を入力する。 #-------------------------------------------------------------------------------# # ファイルが無ければ生成 if [ ! -e /root/firewalld/drop_country_ipv4 ];then touch /root/firewalld/drop_country_ipv4 fi if [ ! -e /root/firewalld/drop_country_ipv6 ];then touch /root/firewalld/drop_country_ipv6 fi # ipv4 DROP_COUNTRY_IPV4(){ COUNTRYLIST='CN' #変更すること。 for country in $COUNTRYLIST do for ip in ` cat ipv4_cidr.txt | grep ^$country | awk '{print $2}'` do echo "$ip" >> /root/firewalld/drop_country_ipv4 done done } # ipv6 DROP_COUNTRY_IPV6(){ COUNTRYLIST='CN' #変更すること。 for country in $COUNTRYLIST do for ip in ` cat ipv6_cidr.txt | grep ^$country | awk '{print $2}'` do echo "$ip" >> /root/firewalld/drop_country_ipv6 done done } #-------------------------------------------------------------------------------# # 3. 2で作成した関数を実行 #-------------------------------------------------------------------------------# DROP_COUNTRY_IPV4 DROP_COUNTRY_IPV6 #-------------------------------------------------------------------------------# # 4. 3で作成したipsetを読み込む #-------------------------------------------------------------------------------# # IPV4--------------------------------------------------------------------------------# # ipset[ drop_country_set_ipv4 ] をdeleteして初期化。 firewall-cmd --permanent --delete-ipset=drop_country_set_ipv4 --type=hash:net # ipset[ drop_country_set_ipv4 ] を作成して type を hash:net にする。 firewall-cmd --permanent --new-ipset=drop_country_set_ipv4 --type=hash:net # ipset[ drop_country_set_ipv4 ] に [drop_country_ipv4] を読み込む。 firewall-cmd --permanent --ipset=drop_country_set_ipv4 --add-entries-from-file=/root/firewalld/drop_country_ipv4 # ipset[ drop_country_set_ipv4 ] のルールをremoveして初期化。 firewall-cmd --permanent --zone=public --remove-rich-rule='rule family=ipv4 source ipset=drop_country_set_ipv4 drop' # ipset[ drop_country_set_ipv4 ] のipは zone[ public ] に来た場合ドロップされる firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv4 source ipset=drop_country_set_ipv4 drop' # IPV6--------------------------------------------------------------------------------# # ipset[ drop_country_set_ipv6 ] をdeleteして初期化。 firewall-cmd --permanent --delete-ipset=drop_country_set_ipv6 --option=family=inet6 --type=hash:net # ipset[ drop_country_set_ipv6] を作成して type を hash:net にする。 firewall-cmd --permanent --new-ipset=drop_country_set_ipv6 --option=family=inet6 --type=hash:net # ipset[ drop_country_set_ipv6 ] に [drop_country_ipv4] を読み込む。 firewall-cmd --permanent --ipset=drop_country_set_ipv6 --add-entries-from-file=/root/firewalld/drop_country_ipv6 # ipset[ drop_country_set_ipv6 ] のルールをremoveして初期化。 firewall-cmd --permanent --zone=public --remove-rich-rule='rule family=ipv6 source ipset=drop_country_set_ipv6 drop' # ipset[ drop_country_set_ipv6 ] のipは zone[ public ] に来た場合ドロップされる firewall-cmd --permanent --zone=public --add-rich-rule='rule family=ipv6 source ipset=drop_country_set_ipv6 drop' #-------------------------------------------------------------------------------# # 5. 管理者用zone[manage] #-------------------------------------------------------------------------------# # 管理者用のゾーン[manage]をdeleteして初期化。 firewall-cmd --permanent --delete-zone=manage # 管理者用のゾーン[manage]を作成。 firewall-cmd --permanent --new-zone=manage # ゾーン[manage]の接続許可を[DROP]に。 firewall-cmd --permanent --zone=manage --set-target=DROP # ゾーン[manage]の接続許可ipを指定。 firewall-cmd --permanent --zone=manage --add-source=192.168.1.3 # ゾーン[public]の初期設定サービスをremoveして初期化。 firewall-cmd --permanent --zone=public --remove-service=ssh firewall-cmd --permanent --zone=public --remove-service=ftp firewall-cmd --permanent --zone=public --remove-service=smtp firewall-cmd --permanent --zone=public --remove-service=smtps # ゾーン[manage]で利用するサービス[ssh]を登録する。 firewall-cmd --permanent --zone=manage --add-service=ssh firewall-cmd --permanent --zone=manage --add-service=ftp firewall-cmd --permanent --zone=manage --add-service=smtp firewall-cmd --permanent --zone=manage --add-service=smtps #-------------------------------------------------------------------------------# # 6. 公開zone[public] #-------------------------------------------------------------------------------# firewall-cmd --permanent --zone=public --add-service=http #-------------------------------------------------------------------------------# # 7. ダイレクトルール/チェインを初期化。 #-------------------------------------------------------------------------------# ( IFS=$'\n'; RULES=(`firewall-cmd --direct --get-all-rules`) for rule in ${RULES[@]}; do ( IFS=$' ' CMD="firewall-cmd --permanent --direct --remove-rule $rule" eval $CMD ) done ) ( IFS=$'\n'; CHAINS=(`firewall-cmd --direct --get-all-chains`) for chain in ${CHAINS[@]}; do ( IFS=$' ' CMD="firewall-cmd --permanent --direct --remove-chain $chain" eval $CMD ) done ) #-------------------------------------------------------------------------------# # 8 .ダイレクトルール/チェインを記述 #-------------------------------------------------------------------------------# # データを持たないパケットの接続を破棄する firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --tcp-flags ALL NONE -j DROP # SYNflood攻撃と思われる接続を破棄する firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp ! --syn -m state --state NEW -j DROP # ステルススキャンと思われる接続を破棄する firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -p tcp --tcp-flags ALL ALL -j DROP # ブロードキャストアドレスを破棄する firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -m pkttype --pkt-type broadcast -j DROP # マルチキャストアドレスを破棄する firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -m pkttype --pkt-type multicast -j DROP #ポートスキャン 1秒間に5回を超えるSYNパケットはログに記録してDROP。 firewall-cmd --permanent --direct --add-chain ipv4 filter Port_Scan firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 400 -i ens33 -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -j Port_Scan firewall-cmd --permanent --direct --add-rule ipv4 filter Port_Scan 450 -m limit --limit 1/s --limit-burst 4 -j RETURN firewall-cmd --permanent --direct --add-rule ipv4 filter Port_Scan 451 -j LOG --log-prefix "[CyberAttack_Port_Scan]:" firewall-cmd --permanent --direct --add-rule ipv4 filter Port_Scan 452 -j DROP #Ping of Death 1秒間に4回を超えるpingはログに記録してDROP。 firewall-cmd --permanent --direct --add-chain ipv4 filter Ping_of_Death firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -p icmp --icmp-type echo-request -j Ping_of_Death firewall-cmd --permanent --direct --add-rule ipv4 filter Ping_of_Death 1 -m limit --limit 1/s --limit-burst 4 -j RETURN firewall-cmd --permanent --direct --add-rule ipv4 filter Ping_of_Death 1 -j LOG --log-prefix "[CyberAttack_Ping_Of_Death]:" firewall-cmd --permanent --direct --add-rule ipv4 filter Ping_of_Death 1 -j DROP #-------------------------------------------------------------------------------# # 9 .ログ unicast broadcast multicast off # allだとbroadcastやmulticastのログも記録される #-------------------------------------------------------------------------------# firewall-cmd --set-log-denied=unicast #-------------------------------------------------------------------------------# # 10 .リロード #-------------------------------------------------------------------------------# # 設定反映 firewall-cmd --reload #-------------------------------------------------------------------------------# # 11 .完了通知 #-------------------------------------------------------------------------------# # 設定確認 SETFILE1=$(firewall-cmd --list-all --zone=manage) SETFILE2=$(firewall-cmd --list-all --zone=public) # 完了メール送信 address="メールアドレス@メールアドレス" subject="firewalld更新完了" contents="firewalldの更新が完了しました。" echo "$contents $SETFILE1 $SETFILE2" | mail -s "$subject" "$address"
ipv4_cidr_client_01.php
<?php /* * 1.IPのリストを取得 * * 2.後処理のためにIPアドレスを長整数表現に変換し * 国別コードと合わせて書き出す * */ define('TEMP_PATH', '/root/firewalld'); define('CIDR_LIST_PATH', TEMP_PATH . '/ipv4_cidr_01.txt'); // リストのダウンロード passthru( 'wget -qO ' . TEMP_PATH . '/delegated-arin-extended-latest ftp://ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest' ); passthru( 'wget -qO ' . TEMP_PATH . '/delegated-ripencc-extended-latest ftp://ftp.ripe.net/pub/stats/ripencc/delegated-ripencc-extended-latest' ); passthru( 'wget -qO ' . TEMP_PATH . '/delegated-apnic-extended-latest ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-extended-latest' ); passthru( 'wget -qO ' . TEMP_PATH . '/delegated-lacnic-extended-latest ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-extended-latest' ); passthru( 'wget -qO ' . TEMP_PATH . '/delegated-afrinic-extended-latest ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-extended-latest' ); $wfp = fopen( CIDR_LIST_PATH, 'w' ); // ダウンロードしたファイルを全て回す foreach ( glob( TEMP_PATH . '/delegated-*-extended-latest' ) as $filename ) { // ファイルを読み込み空行と行末の改行を飛ばす $lists = new SplFileObject( $filename ); $lists->setFlags(SplFileObject::READ_AHEAD | SplFileObject::SKIP_EMPTY | SplFileObject::DROP_NEW_LINE); foreach ( $lists as $line ) { if ( preg_match( '/(arin|ripencc|apnic|lacnic|afrinic)\|[A-Z]+\|ipv4/', $line ) ) { $rows = explode('|', $line); $country = $rows[1]; // 国別コード取得 $ipMin = ip2long( $rows[3] ); // IPの一番下を指定。後に使う関数用にip2longでIPアドレスを整数型へ変換 $ipMax = $ipMin + $rows[4] - 1; // IPの一番上を指定。上のIPに範囲を足して1引いたもの fwrite( $wfp, $country . "\t" . $ipMin . "\t" . $ipMax . "\n" ); } } } fclose( $wfp );
ipv4_cidr_client_02.php
<?php /** * 1.リストをソートし国とIPが連続する場合結合 * * 2.IPがCIDR形式(サブネットマスク形式)で割り切れない場合、 * CIDR形式で表現できるように分割するスクリプト * */ define( 'TEMP_PATH', '/root/firewalld' ); define( 'OLD_CIDR_LIST_PATH', TEMP_PATH . '/ipv4_cidr_01.txt' ); define( 'CIDR_LIST_PATH', TEMP_PATH . '/ipv4_cidr_02.txt' ); // 書き出すIPリスト // IPリストをソートしてキーを振り直す $lists = new SplFileObject(OLD_CIDR_LIST_PATH); $lists->setFlags(SplFileObject::READ_AHEAD | SplFileObject::SKIP_EMPTY | SplFileObject::DROP_NEW_LINE); $arr = array(); foreach( $lists as $val ){ if ($val === false) continue; $arr[] = $val; } asort($arr); $arr = array_merge($arr); // 国の名前が同じで、現在のip_maxと次のip_minが連続している場合結合する $i = 0; foreach ( $arr as $key => &$val ) { if ( isset( $arr[$i + 1] ) ){ $j = explode( "\t", $val); $k = explode( "\t", $arr[$i + 1]); if ( $j[0] == $k[0] && $j[2] == $k[1] - 1 ){ $arr[ $i + 1 ] = $j[0] . "\t" . $j[1] . "\t" . $k[2]; unset( $arr[$i] ); } } $i++; } unset($val); // 参照渡しのリセット // $cidr_rangesにCIDR形式で使われる4から2147483648の倍数をセット // 参照:https://note.cman.jp/network/subnetmask.cgi $range = array(); for( $i = 0; $i < 30; $i++ ){ $ranges[] = pow( 2, $i + 2 ); } $cidr_ranges = array_reverse( $ranges ); /** * IPの範囲を調べる * ip_range_cidr_splitへIPの範囲を渡してCIDR形式に分割し * 新たなファイルに書き出す */ $wfp = fopen( CIDR_LIST_PATH, 'w' ); foreach( $arr as $key => $val ){ // IPのrangeの取得 if( ! empty( $val ) ){ $j = explode( "\t", $val ); $country = $j[0]; $ip_min = $j[1]; $ip_max = $j[2]; $ip_range = $ip_max - $ip_min + 1; $split_lists = ip_range_cidr_split( $ip_range, $cidr_ranges ); foreach ( $split_lists as $row ) { $ip_max = $ip_min + $row - 1; fwrite( $wfp, $country . "\t" . $ip_min . "\t" . $ip_max . "\n" ); $ip_min = $ip_min + $row; } } } fclose( $wfp ); /** * IPの範囲とCIDR表記で割り切れる値を渡すと * CIDRで表現できるIPの範囲を配列で返す * * @param int IPの範囲 * @param arr CIDR表記で割り切れる値 * @return arr CIDRで表現できるIPの範囲を配列で返す */ function ip_range_cidr_split( $ip_range, $cidr_ranges ) { $split_lists = array(); foreach( $cidr_ranges as $cidr_range ){ // $rangeで引いて、残りをもう一度この関数で処理(割り切れるまで実行) if( $ip_range == $cidr_range ){ // 割り切れる場合は処理終了 $split_lists[] = $ip_range; return $split_lists; } elseif ( $ip_range > $cidr_range ){ $split_lists[] = $cidr_range; $ip_range = $ip_range - $cidr_range; } } return $split_lists; }
ipv4_cidr_client_03.php
<?php /** * 1.IPをCIDR表記に変換する * * 2.リストの差分がしきい値を超えた場合はリストを破棄 * * 3.リスト作成の成否をメールで通知する * */ define( 'TEMP_PATH', '/root/firewalld' ); define( 'OLD_CIDR_LIST_PATH', TEMP_PATH . '/ipv4_cidr_02.txt' ); define( 'TMP_CIDR_LIST_PATH', TEMP_PATH . '/ipv4_cidr_03.txt' ); define( 'CIDR_LIST_PATH', TEMP_PATH . '/ipv4_cidr.txt' ); $lists = new SplFileObject(OLD_CIDR_LIST_PATH); $lists->setFlags(SplFileObject::READ_AHEAD | SplFileObject::SKIP_EMPTY | SplFileObject::DROP_NEW_LINE); /** * IPをCIDR形式に変換するスクリプトに渡して * ファイルへ書き出す */ $wfp = fopen( TMP_CIDR_LIST_PATH, 'w' ); foreach( $lists as $list ){ // IPのrangeの取得 $j = explode( "\t", $list ); $country = $j[0]; $ip_min = $j[1]; $ip_max = $j[2]; $split_lists = PlageVersCIDRs( $ip_min, $ip_max ); foreach ( $split_lists as $row ) { fwrite( $wfp, $country . "\t" . $row . "\n" ); } } fclose( $wfp ); /** * 保存済みの /tmp/ipv4_cidr.txt にあって * 作成した /tmp/ipv4_cidr_03.txt にないものをカウント * * 変更点が多すぎる場合は * ファイルが正常に取得できていないものとみなし更新しない * 検査自体は1/2のみで、500の差分がある場合失敗(全体換算で1000) * * そしてメールで通知する */ if( is_readable( CIDR_LIST_PATH ) ) { $new_file = new SplFileObject( TMP_CIDR_LIST_PATH ); $new_file->setFlags(SplFileObject::READ_AHEAD | SplFileObject::SKIP_EMPTY | SplFileObject::DROP_NEW_LINE); $old_file = new SplFileObject( CIDR_LIST_PATH ); $old_file->setFlags(SplFileObject::READ_AHEAD | SplFileObject::SKIP_EMPTY | SplFileObject::DROP_NEW_LINE); // 保存されたファイルの1/2の行数を取得 $old_file->seek( $old_file->getSize() ); $lines_total = $old_file->key(); $lines_total = $lines_total / 2; $i = 0; foreach( $new_file as $val ){ if( $lines_total < $i ){ break; } $new_data[] = $val; $i++; } $i = 0; foreach( $old_file as $val ){ if( $lines_total < $i ){ break; } $old_data[] = $val; $i++; } $diff = count( array_diff( $new_data, $old_data ) ); $diff2 = count( array_diff( $old_data, $new_data ) ); // 差分が500以下のときに成功、それ以上のときに失敗コピーしない if ( $diff < 500 && $diff2 < 500 ){ send_mail( "成功", $diff + $diff2 ); copy( TMP_CIDR_LIST_PATH, CIDR_LIST_PATH ); } else { send_mail( "失敗", $diff + $diff2 ); } } else { send_mail( "新規作成成功", 0 ); copy( TMP_CIDR_LIST_PATH, CIDR_LIST_PATH ); } /** * メール送信用 * 成否と差分を記載したメールを送信する * * @param string 成功もしくは失敗 * @param int 差分の数値 */ function send_mail( $flag, $diff ){ mb_language("Japanese"); mb_internal_encoding("UTF-8"); if ( mb_send_mail( "メールアドレス@メールアドレス", "IPv4のCIDRリスト作成に「" . $flag . "」しました", "CIDRの作成:" . $flag . "。\nCIDRの差分:" . $diff . "。", "From: メールアドレス@メールアドレス" ) ){ } else { echo "メールの送信に失敗しました。"; } } /** * IPの開始と終了の範囲を渡すCIDR形式(サブネット形式)で返す * オリジナルのものはCIDRで表現できない端数の出る値を丸めていた * 参照:http://php.net/manual/ja/ref.network.php#75922 * * 一つ前の処理でCIDRで表現可能な数値に分割しているため * オリジナルのものはCIDRで表現できない端数の出る値を丸めていたが * 正確な値で分割が可能となっている * * @param int IPの開始点 * @param arr IPの終了点 * @return arr CIDR形式で返す */ function PlageVersCIDRs($ip_min, $ip_max) { $cidrs = array(); $ip_min_bin = sprintf('%032b', $ip_min); $ip_max_bin = sprintf('%032b', $ip_max); $ip_cour_bin = $ip_min_bin; while (strcmp($ip_cour_bin, $ip_max_bin) <= 0) { $lng_reseau = 32; $ip_reseau_bin = $ip_cour_bin; while (($ip_cour_bin[$lng_reseau - 1] == '0') && (strcmp(substr_replace($ip_reseau_bin, '1', $lng_reseau - 1, 1), $ip_max_bin) <= 0)) { $ip_reseau_bin[$lng_reseau - 1] = '1'; $lng_reseau--; } $cidrs[] = long2ip(bindec($ip_cour_bin)).'/'.$lng_reseau; $ip_cour_bin = sprintf('%032b', bindec($ip_reseau_bin) + 1); } return $cidrs; }
ipv6_cidr_client_01.php
<?php /* * IPv6のCIDR形式の割当リストを作成する * IPv4で取得したリストを利用する * */ define('TEMP_PATH', '/root/firewalld'); define('CIDR_FILTER_PATH', TEMP_PATH . '/ipv6_cidr_01.txt'); $wfp = fopen( CIDR_FILTER_PATH, 'w' ); // ダウンロードしたファイルを全て回す foreach( glob( TEMP_PATH.'/delegated-*-extended-latest' ) as $filename ) { $lists = new SplFileObject( $filename ); $lists->setFlags(SplFileObject::READ_AHEAD | SplFileObject::SKIP_EMPTY | SplFileObject::DROP_NEW_LINE); foreach ( $lists as $line ) { if( preg_match( '/(arin|ripencc|apnic|lacnic|afrinic)\|[A-Z]+\|ipv6/', $line ) ) { $rows = explode( '|', $line ); $country = $rows[1]; // 国別コード取得 $ip = $rows[3]; // IPの一番下を指定。後に使う関数用にip2longでIPアドレスを整数型へ変換 $mask = $rows[4]; // IPの一番上を指定。上のIPに範囲を足して1引いたもの fwrite( $wfp, $country . "\t" . $ip . "/" . $mask ."\n" ); } } } fclose($wfp);
ipv6_cidr_client_02.php
<?php /* * 1.リストをソートし使える形式で書き出す * * var 1.0.0 2017/5/11 */ define( 'TEMP_PATH', '/root/firewalld' ); define( 'OLD_CIDR_LIST_PATH', TEMP_PATH . '/ipv6_cidr_01.txt' ); define( 'TMP_CIDR_LIST_PATH', TEMP_PATH . '/ipv6_cidr_02.txt' ); define( 'CIDR_LIST_PATH', TEMP_PATH . '/ipv6_cidr.txt' ); // 書き出すIPリスト // IPリストをソートしてキーを振り直す $lists = new SplFileObject(OLD_CIDR_LIST_PATH); $lists->setFlags(SplFileObject::READ_AHEAD | SplFileObject::SKIP_EMPTY | SplFileObject::DROP_NEW_LINE); foreach( $lists as $val ){ if ($val === false) continue; $arr[] = $val; } asort($arr); $wfp = fopen( TMP_CIDR_LIST_PATH, 'w' ); foreach( $arr as $line ){ fwrite( $wfp, $line ."\n" ); } fclose( $wfp ); /** * 保存済みの /tmp/ipv6_cidr.txt にあって * 作成した /tmp/ipv6_cidr_02.txt の差分を調べる * * 変更点が多すぎる場合は * ファイルが正常に取得できていないものとみなし更新しない * * そしてメールで通知する */ if( is_readable( CIDR_LIST_PATH ) ) { $new_file = new SplFileObject( TMP_CIDR_LIST_PATH ); $new_file->setFlags(SplFileObject::READ_AHEAD | SplFileObject::SKIP_EMPTY | SplFileObject::DROP_NEW_LINE); $old_file = new SplFileObject( CIDR_LIST_PATH ); $old_file->setFlags(SplFileObject::READ_AHEAD | SplFileObject::SKIP_EMPTY | SplFileObject::DROP_NEW_LINE); foreach( $new_file as $val ){ $new_data[] = $val; } foreach( $old_file as $val ){ $old_data[] = $val; } $diff = count( array_diff( $new_data, $old_data ) ); $diff2 = count( array_diff( $old_data, $new_data ) ); // 差分が1000以下のときに成功、それ以上のときに失敗コピーしない if ( $diff < 1000 && $diff2 < 1000 ){ send_mail( "成功", $diff + $diff2 ); copy( TMP_CIDR_LIST_PATH, CIDR_LIST_PATH ); } else { send_mail( "失敗", $diff + $diff2 ); } } else { send_mail( "新規作成成功", 0 ); copy( TMP_CIDR_LIST_PATH, CIDR_LIST_PATH ); } /** * メール送信用 * 成否と差分を記載したメールを送信する * * @param string 成功もしくは失敗 * @param int 差分の数値 */ function send_mail( $flag, $diff ){ mb_language("Japanese"); mb_internal_encoding("UTF-8"); if ( mb_send_mail( "メールアドレス@メールアドレス", "IPv6のCIDRリスト作成に「" . $flag . "」しました", "CIDRの作成:" . $flag . "。\nCIDRの差分:" . $diff . "。", "From: メールアドレス@メールアドレス" ) ){ } else { echo "メールの送信に失敗しました。"; } }