Problem z GEOIP + tables

artur.me · Post autor: **artur.me** » 07 maja 2014, 16:43

Witam.

Jako iż nękają mnie ataki z Chin postanowiłem zablokować pełen dostęp z ich kraju. Chciałem użyć iptables + geoip.
Oto kroki jakie przeprowadziłem w czasie instalacji:

Kod: Zaznacz cały

sudo apt-get install libtext-csv-xs-perl module-assistant geoip-database libgeoip1
sudo module-assistant --verbose --text-mode auto-install xtables-addons
sudo mkdir /usr/share/xt_geoip
cd /usr/share/xt_geoipsudo 
wget [url=http://terminal28.com/wp-content/uploads/2013/10/geoip-dl-build.tar.gzsudo]http://terminal28.com/wp-content/uploads/2013/10/geoip-dl-build.tar.gz
sudo[/URL] tar xvf geoip-dl-build.tar.gz
sudo ./xt_geoip_dl
sudo ./xt_geoip_build -D . *.csv
sudo rm -fr geoip-dl-build.tar.gz

Wiem że geoip dodaje się w ten sposób:

Kod: Zaznacz cały

iptables -A INPUT -m geoip --src-cc [B]CN[/B] -j DROP

Lecz gdy próbuje dodać ip do tables wyskakuje informacja:

Kod: Zaznacz cały

iptables v1.4.14: Couldn't load match `geoip':No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

Jak mogę rozwiązać ten problem?

Z poważaniem,
Artur.

Rafal_F · Post autor: **Rafal_F** » 07 maja 2014, 17:20

Nigdy tego nie robiłem, ale:

Debian ma pakiet: xtables-addons-common. Zainstalowałbym go.
Następnie albo wykonałbym:
Kod: Zaznacz cały
```
module-assistant auto-install xtables-addons-source
```
albo zainstalował pakiet: xtables-addons-dkms, z tego co ja rozumiem to alternatywy.
Teraz wywaliłbym wszystko z katalogu /usr/share/xt_geoip.
W pakiecie xtables-addons-common znajduje się wszystko co potrzeba dla geoip, więc nie trzeba ściągać żadnych dodatkowych programów. Teraz:
Kod: Zaznacz cały
```
cd /usr/lib/xtables-addons
./xt_geoip_dl
./xt_geoip_build -D /usr/share/xt_geoip *.csv
```

artur.me · Post autor: **artur.me** » 07 maja 2014, 17:30

Ok, Rafał,
wydaje mi się że pomogłeś mi,
jeśli mogę zapytać, jak sprawdzić listę zablokowanych krajów?

Rafal_F · Post autor: **Rafal_F** » 07 maja 2014, 17:41

Tutaj też szybki tutorial, ale troszkę inaczej: http://mikhailian.mova.org/taxonomy/term/27
Skoro jest to reguła IPtables, to chyba wystarczy je wylistować?

Kod: Zaznacz cały

iptables --list

markossx · Post autor: **markossx** » 07 maja 2014, 18:59

Można również blokować całe klasy, więcej pracy ale większa kontrola.

artur.me · Post autor: **artur.me** » 07 maja 2014, 21:34

Rafał dziękuję.
Markossx mogę wiedzieć w jaki sposób?
I jeszcze zapytam jak zablokować wszystkie państwa sposobem Rafała, z wyjątkiem?

Rafal_F · Post autor: **Rafal_F** » 07 maja 2014, 22:43

Pierwsza reguła blokuje cały ruch przychodzący, jeżeli łączysz się z serwerem po ssh nie zablokuj siebie:

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -I INPUT -m geoip ! --src-cc PL -j DROP

! - oznacza negacje. W pierwszej regule został zablokowany cały ruch przychodzący, a w drugiej zostało ustawione przepuszczanie ruchu z PL.

artur.me · Post autor: **artur.me** » 07 maja 2014, 23:01

"Pierwsza reguła blokuje cały ruch przychodzący, jeżeli łączysz się z serwerem po ssh nie zablokuj siebie:"

Dla pewnosci zapytam, loguje się przez putty, jest to bezpieczne? Nie odlaczy mnie z serwera po :

[/color]iptables -P INPUT DROP

?

Rafal_F · Post autor: **Rafal_F** » 07 maja 2014, 23:12

Tak, zablokuje Cię ze skutkiem natychmiastowym. Możesz dodać dwie reguły jednocześnie korzystając ze skryptu. A wiesz gdzie stoi serwer?

artur.me · Post autor: **artur.me** » 07 maja 2014, 23:19

Rafał, serwer stoi w Holandii, tak samo jak ja.
Możesz mi powiedzieć jak wygląda sprawa z tym skryptem?
Nie chce się zablokować, firma robi duże problemy a ja mam ważne dane na tym serwerze.