Iptables geo filter rules?

Question

[Bobur Bakhritdinov]

Помогите решить задачу, блокировать все страны кроме одного, с помощью ip диапазон! xtables я уже пробовал он пропускает пакеты.
ОС: Centos 6.7
IPTABLES: 1.4.7

Comments

[mureevms]

> xtables я уже пробовал
Что конкретно пробовали? У меня нормально на Debian работает.

[Bobur Bakhritdinov]

mureevms: xtable-addon работает, блокирует станы, но все равно пропускает пакеты. я нашел небольшой скрипт здесь если кому интересно www.cyberciti.biz/faq/block-entier-country-using-i...

[mureevms]

Bobur Bakhritdinov: какие пакеты пропускает?

[Bobur Bakhritdinov]

mureevms: На пример я блокирую весь трафик для России, но у друга из России открывает сайты, фтп все хотя правила iptables iptables -A INPUT -p tcp --dport 21 -m geoip --src-cc RU -j DROP

[mureevms]

Проверьте, нет ли разрешающих правил выше.
Попробуйте сначала так, потом усложняйте.
iptables -I INPUT -p tcp -m geoip --src-cc RU -j DROP
обратите внимание на -I, этот параметр поставит правило первым.
Ну и уточните, может там какой прокси\впн используется, мало ли

[Bobur Bakhritdinov]

Bobur Bakhritdinov: Не та правила, а вот это: iptables -I INPUT -m geoip --src-cc CN -j DROP

[Bobur Bakhritdinov]

mureevms: Нет 1 вариант вероятней, так как на уровни выше есть правила который разрешает доступ к портам. у друга нет прокси и впн

[mureevms]

А правила полиси какие?

[Bobur Bakhritdinov]

mureevms: Я удалил это xtables-addon. использую ipset!

Answer 1

[mikes]

Если не загоняться с geoip модулями, то вам нужен ipset

ipset -N %country% hash:net
wget -P . http://www.ipdeny.com/ipblocks/data/countries/%country%.zone
for i in $(cat /etc/%country%.zone ); do ipset -A %country% $i; done
iptables -P INPUT DROP
iptables -A INPUT -p tcp -m set --match-set %country% src -j ACCEPT

вот примерно так мне выглядит это

Comments

[Bobur Bakhritdinov]

Спасибо, в точку.

[mikes]

Bobur Bakhritdinov: только не забывайте по крону обновлять ipset... Мало ли.. Диапазоны имеют свойство меняться иногда

[Bobur Bakhritdinov]

mikes: Обязательно!

[Bobur Bakhritdinov]

mikes: ipset v6.11: Kernel error received: Invalid argument что за ошибка?

[mikes]

Bobur Bakhritdinov: в ответ на какую команду?

[Bobur Bakhritdinov]

mikes: ipset -L, наверное версия ipset свежий а версия ядро старые. пишу команду yum -y update kernel говорит нет доступный обновлений. У меня был Centos 6.5 я обновил через yum update на Centos 6.7. но версия ядра осталось без изменений. 2,6

[mikes]

Bobur Bakhritdinov: собственно пути 2, перейти на centos7 или удалить текущий ipset и поставить из rpm более старую версию соответствующую вашему ядру и не обновлять ipset

[Bobur Bakhritdinov]

mikes: Я пытался установить ipset 4.5 из rpm, успешно установился, когда пищу команду ipset -L пишет отсутствует /usr/sbin/ipset, когда набираю yum remove ipset показывает версия ipset 4.5

[Bobur Bakhritdinov]

mikes: Обновить версию ОС систему до Centos 7 не вариант, работает множества программы который заточен под Centos 6

Answer 2

[Axian Ltd.]

Google "geo filter iptables"

Comments

[Bobur Bakhritdinov]

Я уже пробовал, короче надо скрипт, который блокирует все ip адреса кроме определенных ip диапазонов к примеру на файле iplist.txt! есть варианты?

[Axian Ltd.]

Не похоже... Например - https://www.debian-administration.org/article/518/..., все по шагам

[Руслан Федосеев]

написать скрипт? 10$ и напишу.

[Bobur Bakhritdinov]

Я это уже пробовал, он пропускает пакеты.

[Axian Ltd.]

Видимо не так пробовал... Доведи дело до конца, предположи что этим руководство уже воспользовалось 10000 человек и у них получилось. Какой должен быть вывод?

[Bobur Bakhritdinov]

Руслан Федосеев: да сейчас )))

[Bobur Bakhritdinov]

Axian Ltd.: Хорошо я попробую