🥇xtables-addons: филтриране на пакети по държава

Задачата за блокиране на трафика от определени държави изглежда проста, но първите впечатления могат да бъдат измамни. Днес ще ви кажем как може да се приложи това.

праистория

Резултатите от търсене в Google по тази тема са разочароващи: повечето от решенията отдавна са „гнили“ и понякога изглежда, че тази тема е оставена и забравена завинаги. Прегледахме много стари записи и сме готови да споделим съвременна версия на инструкциите.

Препоръчваме ви да прочетете цялата статия, преди да изпълните тези команди.

Подготовка на операционната система

Филтрирането ще бъде конфигурирано с помощта на помощната програма IPTABLES, което изисква разширение за работа с GeoIP данни. Това разширение може да се намери в xtables-добавки. xtables-addons инсталира разширения за iptables като независими модули на ядрото, така че няма нужда от повторно компилиране на ядрото на ОС.

Към момента на писане, текущата версия на xtables-addons е 3.9. Въпреки това, в стандартните хранилища Ubuntu 20.04 LTS може да намери само 3.8, а в хранилищата Ubuntu 18.04 — 3.0. Можете да инсталирате разширението от мениджъра на пакети, като използвате следната команда:

apt install xtables-addons-common libtext-csv-xs-perl

Имайте предвид, че има малки, но важни разлики между версия 3.9 и текущото състояние на проекта, които ще обсъдим по-късно. За да изградите от изходния код, инсталирайте всички необходими пакети:

apt install git build-essential autoconf make libtool iptables-dev libxtables-dev pkg-config libnet-cidr-lite-perl libtext-csv-xs-perl

Клонирайте хранилището:

git clone https://git.code.sf.net/p/xtables-addons/xtables-addons xtables-addons-xtables-addons

cd xtables-addons-xtables-addons

xtables-addons съдържа много разширения, но ние се интересуваме само от xt_geoip. Ако не искате да влачите ненужни разширения в системата, можете да ги изключите от компилацията. За да направите това, трябва да редактирате файла mconfig. За всички желани модули инсталирайте y, и маркирайте всички ненужни n. Ние събираме:

./autogen.sh

./configure

make

И инсталирайте с права на суперпотребител:

make install

По време на инсталирането на модули на ядрото може да възникне грешка, подобна на следната:

INSTALL /root/xtables-addons-xtables-addons/extensions/xt_geoip.ko
At main.c:160:
- SSL error:02001002:system library:fopen:No such file or directory: ../crypto/bio/bss_file.c:72
- SSL error:2006D080:BIO routines:BIO_new_file:no such file: ../crypto/bio/bss_file.c:79
sign-file: certs/signing_key.pem: No such file or directory

Тази ситуация възниква поради невъзможността за подписване на модули на ядрото, защото нищо за подписване. Можете да разрешите този проблем с няколко команди:

cd /lib/modules/(uname -r)/build/certs

cat <<EOF > x509.genkey

[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = myexts

[ req_distinguished_name ]
CN = Modules

[ myexts ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid
EOF

openssl req -new -nodes -utf8 -sha512 -days 36500 -batch -x509 -config x509.genkey -outform DER -out signing_key.x509 -keyout signing_key.pem

Компилираният модул на ядрото е инсталиран, но системата не го открива. Нека помолим системата да създаде карта на зависимостта, като вземе предвид новия модул, и след това да го зареди:

depmod -a

modprobe xt_geoip

Нека се уверим, че xt_geoip е зареден в системата:

# lsmod | grep xt_geoip
xt_geoip               16384  0
x_tables               40960  2 xt_geoip,ip_tables

Освен това се уверете, че разширението е заредено в iptables:

# cat /proc/net/ip_tables_matches 
geoip
icmp

Доволни сме от всичко и остава само да добавим името на модула / и т.н. / модулитака че модулът да работи след рестартиране на ОС. Отсега нататък iptables разбира geoip команди, но няма достатъчно данни за работа. Нека започнем да зареждаме базата данни geoip.

Получаване на GeoIP база данни

Създаваме директория, в която ще се съхранява информация, разбираема за разширението iptables:

mkdir /usr/share/xt_geoip

В началото на статията споменахме, че има разлики между версията от изходния код и версията от пакетния мениджър. Най-забележимата разлика е промяната в доставчика на базата данни и скрипта xt_geoip_dl, който изтегля най-новите данни.

Версия на мениджъра на пакети

Скриптът се намира в пътя /usr/lib/xtables-addons, но когато се опитате да го стартирате, ще видите не много информативна грешка:

# ./xt_geoip_dl 
unzip:  cannot find or open GeoLite2-Country-CSV.zip, GeoLite2-Country-CSV.zip.zip or GeoLite2-Country-CSV.zip.ZIP.

Преди това продуктът GeoLite, сега известен като GeoLite Legacy, разпространяван с лиценз, беше използван като база данни Creative Commons ASA 4.0 компания MaxMind. С този продукт се случиха две събития наведнъж, които „нарушиха“ съвместимостта с разширението iptables.

Първо, през януари 2018 г съобщи относно прекратяването на поддръжката на продукта, а на 2019 януари 2 г. всички връзки за изтегляне на старата версия на базата данни бяха премахнати от официалния уебсайт. На новите потребители се препоръчва да използват продукта GeoLite2 или неговата платена версия GeoIPXNUMX.

Второ, от декември 2019 г. MaxMind Той заяви, за значителна промяна в достъпа до техните бази данни. За да спази Калифорнийския закон за защита на личните данни на потребителите, MaxMind реши да "покрие" разпространението на GeoLite2 с регистрация.

Тъй като искаме да използваме техния продукт, ще се регистрираме на тази страница.

След това ще получите имейл с молба да зададете парола. Сега, след като създадохме акаунт, трябва да създадем лицензен ключ. Във вашия личен акаунт намираме артикула Моите лицензионни ключове, след което щракнете върху бутона Генерирайте нов лицензен ключ.

Когато създаваме ключ, ще ни бъде зададен само един въпрос: ще използваме ли този ключ в програмата GeoIP Update? Отговаряме отрицателно и натискаме бутона потвърждавам. Ключът ще се покаже в изскачащ прозорец. Запазете този ключ на сигурно място, тъй като след като затворите изскачащия прозорец, вече няма да можете да видите целия ключ.

Имаме възможност да изтегляме бази данни GeoLite2 ръчно, но техният формат не е съвместим с формата, очакван от скрипта xt_geoip_build. Тук идват на помощ скриптовете GeoLite2xtables. За да изпълнявате скриптове, инсталирайте модула NetAddr::IP perl:

wget https://cpan.metacpan.org/authors/id/M/MI/MIKER/NetAddr-IP-4.079.tar.gz

tar xvf NetAddr-IP-4.079.tar.gz

cd NetAddr-IP-4.079

perl Makefile.PL

make

make install

След това клонираме хранилището със скриптове и записваме предварително получения лицензен ключ във файл:

git clone https://github.com/mschmitt/GeoLite2xtables.git

cd GeoLite2xtables

echo YOUR_LICENSE_KEY=’123ertyui123' > geolite2.license

Нека стартираме скриптовете:

# Скачиваем данные GeoLite2
./00_download_geolite2
# Скачиваем информацию о странах (для соответствия коду)
./10_download_countryinfo
# Конвертируем GeoLite2 базу в формат GeoLite Legacy 
cat /tmp/GeoLite2-Country-Blocks-IPv{4,6}.csv |
./20_convert_geolite2 /tmp/CountryInfo.txt > /usr/share/xt_geoip/dbip-country-lite.csv

MaxMind налага ограничение от 2000 изтегляния на ден и при голям брой сървъри предлага кеширане на актуализацията на прокси сървър.

Моля, имайте предвид, че изходният файл трябва да бъде извикан dbip-country-lite.csv... За жалост, 20_convert_geolite2 не произвежда перфектен файл. Скрипт xt_geoip_build очаква три колони:

начало на адресния диапазон;
край на адресния диапазон;
код на държавата в iso-3166-alpha2.

И изходният файл съдържа шест колони:

начало на адресния диапазон (низово представяне);
край на адресния диапазон (низово представяне);
начало на адресния диапазон (числово представяне);
край на адресния диапазон (числово представяне);
код на страната;
името на държавата.

Това несъответствие е критично и може да бъде коригирано по един от двата начина:

правило 20_convert_geolite2;
правило xt_geoip_build.

В първия случай намаляваме ФОРМАТ в необходимия формат, а във втория - променяме присвояването на променливата $cc на $ред->[4]. След това можете да изградите:

/usr/lib/xtables-addons/xt_geoip_build -S /usr/share/xt_geoip/ -D /usr/share/xt_geoip

. . .
 2239 IPv4 ranges for ZA
  348 IPv6 ranges for ZA
   56 IPv4 ranges for ZM
   12 IPv6 ranges for ZM
   56 IPv4 ranges for ZW
   15 IPv6 ranges for ZW

Имайте предвид, че авторът Таблици GeoLite2x не счита своите скриптове за готови за производство и предлага писта за разработване на оригинални xt_geoip_* скриптове. Затова нека да преминем към сглобяването от изходните кодове, в които тези скриптове вече са актуализирани.

Изходна версия

При инсталиране от скриптове с изходен код xt_geoip_* се намират в каталога /usr/local/libexec/xtables-addons. Тази версия на скрипта използва база данни IP към Country Lite. Лицензът е Creative Commons Attribution License и от наличните данни има така необходимите три колони. Изтеглете и сглобете базата данни:

cd /usr/share/xt_geoip/

/usr/local/libexec/xtables-addons/xt_geoip_dl

/usr/local/libexec/xtables-addons/xt_geoip_build

След тези стъпки iptables е готов за работа.

Използване на geoip в iptables

Модул xt_geoip добавя само два ключа:

geoip match options:
[!] --src-cc, --source-country country[,country...]
	Match packet coming from (one of) the specified country(ies)
[!] --dst-cc, --destination-country country[,country...]
	Match packet going to (one of) the specified country(ies)

NOTE: The country is inputed by its ISO3166 code.

Методите за създаване на правила за iptables като цяло остават непроменени. За да използвате ключове от допълнителни модули, трябва изрично да посочите името на модула с ключа -m. Например правило за блокиране на входящи TCP връзки на порт 443 не от САЩ на всички интерфейси:

iptables -I INPUT ! -i lo -p tcp --dport 443 -m geoip ! --src-cc US -j DROP

Файловете, създадени от xt_geoip_build, се използват само при създаване на правила, но не се вземат предвид при филтриране. По този начин, за да актуализирате правилно базата данни geoip, първо трябва да актуализирате iv* файловете и след това да пресъздадете всички правила, които използват geoip в iptables.

Заключение

Филтрирането на пакети въз основа на държави е стратегия, донякъде забравена от времето. Въпреки това се разработват софтуерни инструменти за такова филтриране и може би скоро в мениджърите на пакети ще се появи нова версия на xt_geoip с нов доставчик на данни geoip, което значително ще опрости живота на системните администратори.