Strona 1 z 2

Problem z GEOIP + tables

: 07 maja 2014, 16:43
autor: artur.me
Witam.

Jako iż nękają mnie ataki z Chin postanowiłem zablokować pełen dostęp z ich kraju. Chciałem użyć iptables + geoip.
Oto kroki jakie przeprowadziłem w czasie instalacji:

Kod: Zaznacz cały

sudo apt-get install libtext-csv-xs-perl module-assistant geoip-database libgeoip1
sudo module-assistant --verbose --text-mode auto-install xtables-addons
sudo mkdir /usr/share/xt_geoip
cd /usr/share/xt_geoipsudo 
wget [url=http://terminal28.com/wp-content/uploads/2013/10/geoip-dl-build.tar.gzsudo]http://terminal28.com/wp-content/uploads/2013/10/geoip-dl-build.tar.gz
sudo[/URL] tar xvf geoip-dl-build.tar.gz
sudo ./xt_geoip_dl
sudo ./xt_geoip_build -D . *.csv
sudo rm -fr geoip-dl-build.tar.gz
Wiem że geoip dodaje się w ten sposób:

Kod: Zaznacz cały

iptables -A INPUT -m geoip --src-cc [B]CN[/B] -j DROP
Lecz gdy próbuje dodać ip do tables wyskakuje informacja:

Kod: Zaznacz cały

iptables v1.4.14: Couldn't load match `geoip':No such file or directory

Try `iptables -h' or 'iptables --help' for more information.
Jak mogę rozwiązać ten problem?

Z poważaniem,
Artur.

: 07 maja 2014, 17:20
autor: Rafal_F
Nigdy tego nie robiłem, ale:
  1. Debian ma pakiet: xtables-addons-common. Zainstalowałbym go.
  2. Następnie albo wykonałbym:

    Kod: Zaznacz cały

    module-assistant auto-install xtables-addons-source
    albo zainstalował pakiet: xtables-addons-dkms, z tego co ja rozumiem to alternatywy.
  3. Teraz wywaliłbym wszystko z katalogu /usr/share/xt_geoip.
  4. W pakiecie xtables-addons-common znajduje się wszystko co potrzeba dla geoip, więc nie trzeba ściągać żadnych dodatkowych programów. Teraz:

    Kod: Zaznacz cały

    cd /usr/lib/xtables-addons
    ./xt_geoip_dl
    ./xt_geoip_build -D /usr/share/xt_geoip *.csv

: 07 maja 2014, 17:30
autor: artur.me
Ok, Rafał,
wydaje mi się że pomogłeś mi,
jeśli mogę zapytać, jak sprawdzić listę zablokowanych krajów?

: 07 maja 2014, 17:41
autor: Rafal_F
Tutaj też szybki tutorial, ale troszkę inaczej: http://mikhailian.mova.org/taxonomy/term/27
Skoro jest to reguła IPtables, to chyba wystarczy je wylistować?

Kod: Zaznacz cały

iptables --list

: 07 maja 2014, 18:59
autor: markossx
Można również blokować całe klasy, więcej pracy ale większa kontrola.

: 07 maja 2014, 21:34
autor: artur.me
Rafał dziękuję.
Markossx mogę wiedzieć w jaki sposób?
I jeszcze zapytam jak zablokować wszystkie państwa sposobem Rafała, z wyjątkiem?

: 07 maja 2014, 22:43
autor: Rafal_F
Pierwsza reguła blokuje cały ruch przychodzący, jeżeli łączysz się z serwerem po ssh nie zablokuj siebie:

Kod: Zaznacz cały

iptables -P INPUT DROP
iptables -I INPUT -m geoip ! --src-cc PL -j DROP
! - oznacza negacje. W pierwszej regule został zablokowany cały ruch przychodzący, a w drugiej zostało ustawione przepuszczanie ruchu z PL.

: 07 maja 2014, 23:01
autor: artur.me
"Pierwsza reguła blokuje cały ruch przychodzący, jeżeli łączysz się z serwerem po ssh nie zablokuj siebie:"

Dla pewnosci zapytam, loguje się przez putty, jest to bezpieczne? Nie odlaczy mnie z serwera po :
[/color]iptables -P INPUT DROP
?

: 07 maja 2014, 23:12
autor: Rafal_F
Tak, zablokuje Cię ze skutkiem natychmiastowym. Możesz dodać dwie reguły jednocześnie korzystając ze skryptu. A wiesz gdzie stoi serwer?

: 07 maja 2014, 23:19
autor: artur.me
Rafał, serwer stoi w Holandii, tak samo jak ja.
Możesz mi powiedzieć jak wygląda sprawa z tym skryptem?
Nie chce się zablokować, firma robi duże problemy a ja mam ważne dane na tym serwerze.