xtables-addons: দেশ অনুযায়ী প্যাকেজ ফিল্টার করুন

কিছু দেশ থেকে ট্রাফিক ব্লক করার কাজটি সহজ বলে মনে হয়, কিন্তু প্রথম ইমপ্রেশন প্রতারণামূলক হতে পারে। আজ আমরা আপনাকে বলব কিভাবে এটি বাস্তবায়ন করা যেতে পারে।

প্রাগঐতিহাসিক

এই বিষয়ে একটি Google অনুসন্ধানের ফলাফল হতাশাজনক: বেশিরভাগ সমাধান দীর্ঘকাল ধরে "পচা" হয়েছে এবং কখনও কখনও মনে হয় যে এই বিষয়টি চিরতরে ভুলে যাওয়া হয়েছে। আমরা অনেক পুরানো রেকর্ডের মধ্য দিয়ে চলেছি এবং নির্দেশাবলীর একটি আধুনিক সংস্করণ ভাগ করতে প্রস্তুত।

আমরা সুপারিশ করি যে আপনি এই কমান্ডগুলি কার্যকর করার আগে সম্পূর্ণ নিবন্ধটি পড়ুন।

অপারেটিং সিস্টেম প্রস্তুত করা হচ্ছে

ইউটিলিটি ব্যবহার করে ফিল্টারিং কনফিগার করা হবে iptables- র, যার জিওআইপি ডেটার সাথে কাজ করার জন্য একটি এক্সটেনশন প্রয়োজন। এই এক্সটেনশন পাওয়া যাবে xtables-addons. xtables-addons স্বাধীন কার্নেল মডিউল হিসাবে iptables-এর জন্য এক্সটেনশন ইনস্টল করে, তাই OS কার্নেল পুনরায় কম্পাইল করার প্রয়োজন নেই।

লেখার সময়, xtables-addons এর বর্তমান সংস্করণ 3.9। যাইহোক, স্ট্যান্ডার্ড উবুন্টু 20.04 এলটিএস রিপোজিটরিতে শুধুমাত্র 3.8 এবং উবুন্টু 18.04 রিপোজিটরিতে 3.0 পাওয়া যাবে। আপনি নিম্নলিখিত কমান্ডের সাহায্যে প্যাকেজ ম্যানেজার থেকে এক্সটেনশনটি ইনস্টল করতে পারেন:

apt install xtables-addons-common libtext-csv-xs-perl

নোট করুন যে সংস্করণ 3.9 এবং প্রকল্পের বর্তমান অবস্থার মধ্যে ছোট কিন্তু গুরুত্বপূর্ণ পার্থক্য রয়েছে, যা আমরা পরে আলোচনা করব। সোর্স কোড থেকে তৈরি করতে, সমস্ত প্রয়োজনীয় প্যাকেজ ইনস্টল করুন:

apt install git build-essential autoconf make libtool iptables-dev libxtables-dev pkg-config libnet-cidr-lite-perl libtext-csv-xs-perl

সংগ্রহস্থল ক্লোন করুন:

git clone https://git.code.sf.net/p/xtables-addons/xtables-addons xtables-addons-xtables-addons

cd xtables-addons-xtables-addons

xtables-addons-এ অনেক এক্সটেনশন রয়েছে, কিন্তু আমরা শুধুমাত্র আগ্রহী xt_geoip. আপনি যদি সিস্টেমে অপ্রয়োজনীয় এক্সটেনশনগুলি টেনে আনতে না চান তবে আপনি সেগুলিকে বিল্ড থেকে বাদ দিতে পারেন। এটি করার জন্য আপনাকে ফাইলটি সম্পাদনা করতে হবে mconfig. সমস্ত পছন্দসই মডিউলগুলির জন্য, ইনস্টল করুন y, এবং সমস্ত অপ্রয়োজনীয় চিহ্নিত করুন n. আমরা সংগ্রহ করি:

./autogen.sh

./configure

make

এবং সুপার ইউজার অধিকার সহ ইনস্টল করুন:

make install

কার্নেল মডিউল ইনস্টল করার সময়, নিম্নলিখিতগুলির মতো একটি ত্রুটি ঘটতে পারে:

INSTALL /root/xtables-addons-xtables-addons/extensions/xt_geoip.ko
At main.c:160:
- SSL error:02001002:system library:fopen:No such file or directory: ../crypto/bio/bss_file.c:72
- SSL error:2006D080:BIO routines:BIO_new_file:no such file: ../crypto/bio/bss_file.c:79
sign-file: certs/signing_key.pem: No such file or directory

কার্নেল মডিউল স্বাক্ষর করার অসম্ভবতার কারণে এই পরিস্থিতির উদ্ভব হয়েছে, কারণ স্বাক্ষর করার কিছু নেই। আপনি কয়েকটি কমান্ড দিয়ে এই সমস্যাটি সমাধান করতে পারেন:

cd /lib/modules/(uname -r)/build/certs

cat <<EOF > x509.genkey

[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = myexts

[ req_distinguished_name ]
CN = Modules

[ myexts ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid
EOF

openssl req -new -nodes -utf8 -sha512 -days 36500 -batch -x509 -config x509.genkey -outform DER -out signing_key.x509 -keyout signing_key.pem

কম্পাইল করা কার্নেল মডিউল ইনস্টল করা আছে, কিন্তু সিস্টেম এটি সনাক্ত করে না। আসুন সিস্টেমটিকে নতুন মডিউলটি বিবেচনায় নিয়ে একটি নির্ভরতা মানচিত্র তৈরি করতে বলি এবং তারপরে এটি লোড করুন:

depmod -a

modprobe xt_geoip

আসুন নিশ্চিত করি যে xt_geoip সিস্টেমে লোড হয়েছে:

# lsmod | grep xt_geoip
xt_geoip               16384  0
x_tables               40960  2 xt_geoip,ip_tables

অতিরিক্তভাবে, নিশ্চিত করুন যে এক্সটেনশনটি iptables এ লোড করা হয়েছে:

# cat /proc/net/ip_tables_matches 
geoip
icmp

আমরা সবকিছু নিয়ে খুশি এবং যা বাকি থাকে তা হল মডিউলের নাম যোগ করা / ইত্যাদি / মডিউলযাতে মডিউলটি OS রিবুট করার পরে কাজ করে। এখন থেকে, iptables geoip কমান্ড বোঝে, কিন্তু এটির সাথে কাজ করার জন্য পর্যাপ্ত ডেটা নেই। জিওআইপি ডাটাবেস লোড করা শুরু করা যাক।

জিওআইপি ডাটাবেস পাওয়া

আমরা একটি ডিরেক্টরি তৈরি করি যেখানে iptables এক্সটেনশনে বোধগম্য তথ্য সংরক্ষণ করা হবে:

mkdir /usr/share/xt_geoip

নিবন্ধের শুরুতে, আমরা উল্লেখ করেছি যে উত্স কোড থেকে সংস্করণ এবং প্যাকেজ পরিচালকের সংস্করণের মধ্যে পার্থক্য রয়েছে৷ সবচেয়ে লক্ষণীয় পার্থক্য হল ডাটাবেস বিক্রেতা এবং স্ক্রিপ্টের পরিবর্তন xt_geoip_dl, যা সর্বশেষ ডেটা ডাউনলোড করে।

প্যাকেজ ম্যানেজার সংস্করণ

স্ক্রিপ্টটি পাথ /usr/lib/xtables-addons-এ অবস্থিত, কিন্তু আপনি যখন এটি চালানোর চেষ্টা করবেন, আপনি একটি খুব তথ্যপূর্ণ ত্রুটি দেখতে পাবেন না:

# ./xt_geoip_dl 
unzip:  cannot find or open GeoLite2-Country-CSV.zip, GeoLite2-Country-CSV.zip.zip or GeoLite2-Country-CSV.zip.ZIP.

পূর্বে, জিওলাইট পণ্য, যা এখন জিওলাইট লিগ্যাসি নামে পরিচিত, লাইসেন্সের অধীনে বিতরণ করা হয়েছিল, একটি ডাটাবেস হিসাবে ব্যবহৃত হত ক্রিয়েটিভ কমন্স ASA 4.0 কোম্পানী MaxMind. এই পণ্যটির সাথে একবারে দুটি ইভেন্ট ঘটেছে যা iptables এক্সটেনশনের সাথে সামঞ্জস্যতা "ভাঙ্গা" করেছে।

প্রথমত, 2018 সালের জানুয়ারিতে ঘোষণা পণ্যটির জন্য সমর্থন বন্ধ করার বিষয়ে, এবং 2019 জানুয়ারী, 2 তারিখে, ডাটাবেসের পুরানো সংস্করণ ডাউনলোড করার সমস্ত লিঙ্ক অফিসিয়াল ওয়েবসাইট থেকে সরানো হয়েছিল। নতুন ব্যবহারকারীদের GeoLite2 পণ্য বা এর অর্থপ্রদত্ত সংস্করণ GeoIPXNUMX ব্যবহার করার পরামর্শ দেওয়া হচ্ছে।

দ্বিতীয়ত, ডিসেম্বর 2019 থেকে MaxMind তিনি বলেছিলেন তাদের ডাটাবেসে অ্যাক্সেসের একটি উল্লেখযোগ্য পরিবর্তন সম্পর্কে। ক্যালিফোর্নিয়া কনজিউমার প্রাইভেসি অ্যাক্ট মেনে চলার জন্য, MaxMind রেজিস্ট্রেশন সহ GeoLite2 এর বিতরণকে "কভার" করার সিদ্ধান্ত নিয়েছে৷

যেহেতু আমরা তাদের পণ্য ব্যবহার করতে চাই, আমরা এই পৃষ্ঠায় নিবন্ধন করব।

তারপরে আপনি একটি পাসওয়ার্ড সেট করতে আপনাকে একটি ইমেল পাবেন। এখন যেহেতু আমরা একটি অ্যাকাউন্ট তৈরি করেছি, আমাদের একটি লাইসেন্স কী তৈরি করতে হবে। আপনার ব্যক্তিগত অ্যাকাউন্টে আমরা আইটেমটি খুঁজে পাই আমার লাইসেন্স কী, এবং তারপর বোতামে ক্লিক করুন নতুন লাইসেন্স কী জেনারেট করুন.

একটি কী তৈরি করার সময়, আমাদের শুধুমাত্র একটি প্রশ্ন করা হবে: আমরা কি জিওআইপি আপডেট প্রোগ্রামে এই কী ব্যবহার করব? আমরা নেতিবাচক উত্তর এবং বোতাম টিপুন নিশ্চিত করা. কীটি একটি পপ-আপ উইন্ডোতে প্রদর্শিত হবে। এই কীটি একটি নিরাপদ স্থানে সংরক্ষণ করুন, আপনি একবার পপ-আপ উইন্ডো বন্ধ করলে, আপনি আর পুরো কীটি দেখতে পারবেন না।

আমাদের কাছে GeoLite2 ডাটাবেস ম্যানুয়ালি ডাউনলোড করার ক্ষমতা আছে, কিন্তু তাদের ফর্ম্যাট xt_geoip_build স্ক্রিপ্ট দ্বারা প্রত্যাশিত ফর্ম্যাটের সাথে সামঞ্জস্যপূর্ণ নয়৷ এখানেই GeoLite2xtables স্ক্রিপ্টগুলি উদ্ধারে আসে৷ স্ক্রিপ্ট চালানোর জন্য, NetAddr::IP পার্ল মডিউল ইনস্টল করুন:

wget https://cpan.metacpan.org/authors/id/M/MI/MIKER/NetAddr-IP-4.079.tar.gz

tar xvf NetAddr-IP-4.079.tar.gz

cd NetAddr-IP-4.079

perl Makefile.PL

make

make install

এরপরে, আমরা স্ক্রিপ্ট সহ সংগ্রহস্থল ক্লোন করি এবং একটি ফাইলে পূর্বে প্রাপ্ত লাইসেন্স কী লিখি:

git clone https://github.com/mschmitt/GeoLite2xtables.git

cd GeoLite2xtables

echo YOUR_LICENSE_KEY=’123ertyui123' > geolite2.license

স্ক্রিপ্ট রান করা যাক:

# Скачиваем данные GeoLite2
./00_download_geolite2
# Скачиваем информацию о странах (для соответствия коду)
./10_download_countryinfo
# Конвертируем GeoLite2 базу в формат GeoLite Legacy 
cat /tmp/GeoLite2-Country-Blocks-IPv{4,6}.csv |
./20_convert_geolite2 /tmp/CountryInfo.txt > /usr/share/xt_geoip/dbip-country-lite.csv

ম্যাক্সমাইন্ড প্রতিদিন 2000 ডাউনলোডের সীমা আরোপ করে এবং প্রচুর সংখ্যক সার্ভার সহ, একটি প্রক্সি সার্ভারে আপডেট ক্যাশে করার প্রস্তাব দেয়।

অনুগ্রহ করে মনে রাখবেন যে আউটপুট ফাইলটি অবশ্যই কল করতে হবে dbip-country-lite.csv... দুর্ভাগ্যক্রমে, 20_রূপান্তর_জিওলাইট2 একটি নিখুঁত ফাইল তৈরি করে না। লিপি xt_geoip_build তিনটি কলাম আশা করে:

• ঠিকানা পরিসীমা শুরু;
• ঠিকানা পরিসীমা শেষ;
• দেশের কোড iso-3166-alpha2।

এবং আউটপুট ফাইলটিতে ছয়টি কলাম রয়েছে:

• ঠিকানা পরিসরের শুরু (স্ট্রিং উপস্থাপনা);
• ঠিকানা পরিসরের শেষ (স্ট্রিং উপস্থাপনা);
• ঠিকানা পরিসরের শুরু (সাংখ্যিক উপস্থাপনা);
• ঠিকানা পরিসরের শেষ (সাংখ্যিক উপস্থাপনা);
• দেশের কোড;
• দেশের নাম।

এই অসঙ্গতিটি গুরুতর এবং দুটি উপায়ের একটিতে সংশোধন করা যেতে পারে:

1. নিয়ম 20_রূপান্তর_জিওলাইট2;
2. নিয়ম xt_geoip_build.

প্রথম ক্ষেত্রে আমরা কমিয়ে দেই printf, প্রয়োজনীয় বিন্যাসে, এবং দ্বিতীয়টিতে - আমরা ভেরিয়েবলে অ্যাসাইনমেন্ট পরিবর্তন করি $cc উপর $row->[4]. এর পরে আপনি নির্মাণ করতে পারেন:

/usr/lib/xtables-addons/xt_geoip_build -S /usr/share/xt_geoip/ -D /usr/share/xt_geoip

. . .
 2239 IPv4 ranges for ZA
  348 IPv6 ranges for ZA
   56 IPv4 ranges for ZM
   12 IPv6 ranges for ZM
   56 IPv4 ranges for ZW
   15 IPv6 ranges for ZW

উল্লেখ্য, লেখক ড GeoLite2xtables প্রযোজনা এবং অফার জন্য প্রস্তুত তার স্ক্রিপ্ট বিবেচনা করে না ট্র্যাক মূল xt_geoip_* স্ক্রিপ্টগুলির বিকাশের জন্য। অতএব, সোর্স কোডগুলি থেকে সমাবেশে যাওয়া যাক, যেখানে এই স্ক্রিপ্টগুলি ইতিমধ্যে আপডেট করা হয়েছে।

উৎস সংস্করণ

সোর্স কোড স্ক্রিপ্ট থেকে ইনস্টল করার সময় xt_geoip_* ক্যাটালগে অবস্থিত /usr/local/libexec/xtables-addons. স্ক্রিপ্টের এই সংস্করণটি একটি ডাটাবেস ব্যবহার করে আইপি থেকে কান্ট্রি লাইট. লাইসেন্সটি ক্রিয়েটিভ কমন্স অ্যাট্রিবিউশন লাইসেন্স, এবং উপলব্ধ ডেটা থেকে খুব প্রয়োজনীয় তিনটি কলাম রয়েছে। ডাটাবেস ডাউনলোড এবং একত্রিত করুন:

cd /usr/share/xt_geoip/

/usr/local/libexec/xtables-addons/xt_geoip_dl

/usr/local/libexec/xtables-addons/xt_geoip_build

এই পদক্ষেপের পরে, iptables কাজ করার জন্য প্রস্তুত।

iptables এ geoip ব্যবহার করা

মডিউল xt_geoip শুধুমাত্র দুটি কী যোগ করে:

geoip match options:
[!] --src-cc, --source-country country[,country...]
	Match packet coming from (one of) the specified country(ies)
[!] --dst-cc, --destination-country country[,country...]
	Match packet going to (one of) the specified country(ies)

NOTE: The country is inputed by its ISO3166 code.

iptables এর জন্য নিয়ম তৈরি করার পদ্ধতিগুলি, সাধারণভাবে, অপরিবর্তিত থাকে। অতিরিক্ত মডিউল থেকে কী ব্যবহার করতে, আপনাকে অবশ্যই -m সুইচের সাথে মডিউলের নাম স্পষ্টভাবে উল্লেখ করতে হবে। উদাহরণস্বরূপ, সমস্ত ইন্টারফেসে USA থেকে নয় পোর্ট 443-এ ইনকামিং TCP সংযোগগুলি ব্লক করার নিয়ম:

iptables -I INPUT ! -i lo -p tcp --dport 443 -m geoip ! --src-cc US -j DROP

xt_geoip_build দ্বারা তৈরি ফাইলগুলি শুধুমাত্র নিয়ম তৈরি করার সময় ব্যবহার করা হয়, কিন্তু ফিল্টার করার সময় বিবেচনায় নেওয়া হয় না। এইভাবে, সঠিকভাবে geoip ডাটাবেস আপডেট করার জন্য, আপনাকে প্রথমে iv* ফাইলগুলি আপডেট করতে হবে এবং তারপর iptables-এ geoip ব্যবহার করে এমন সমস্ত নিয়ম পুনরায় তৈরি করতে হবে।

উপসংহার

দেশগুলির উপর ভিত্তি করে প্যাকেটগুলি ফিল্টার করা একটি কৌশল যা সময়ের দ্বারা কিছুটা ভুলে যায়। তা সত্ত্বেও, এই ধরনের ফিল্টারিংয়ের জন্য সফ্টওয়্যার সরঞ্জামগুলি তৈরি করা হচ্ছে এবং, সম্ভবত, শীঘ্রই একটি নতুন জিওআইপি ডেটা প্রদানকারীর সাথে xt_geoip-এর একটি নতুন সংস্করণ প্যাকেজ পরিচালকদের মধ্যে উপস্থিত হবে, যা সিস্টেম প্রশাসকদের জীবনকে ব্যাপকভাবে সহজ করবে।

শুধুমাত্র নিবন্ধিত ব্যবহারকারীরা জরিপে অংশগ্রহণ করতে পারবেন। সাইন ইন করুনকরুন।

আপনি কি কখনো দেশ অনুযায়ী ফিল্টারিং ব্যবহার করেছেন?

• 59,1%হ্যাঁ 13

• 40,9%No9

22 ব্যবহারকারী ভোট দিয়েছেন। ৩ জন ব্যবহারকারী বিরত ছিলেন।

উত্স: www.habr.com