ProHoster > Blag > Riarachán > xtables-addons: pacáistí scagaire de réir tíre

xtables-addons: pacáistí scagaire de réir tíre

xtables-addons: pacáistí scagaire de réir tíre
Is cosúil go bhfuil an tasc a bhaineann le bac a chur ar thrácht ó thíortha áirithe simplí, ach is féidir le tuiscintí tosaigh a bheith mealltach. Inniu inseoimid duit conas is féidir é seo a chur i bhfeidhm.

réamhstair

Is ábhar díomá iad torthaí cuardaigh Google ar an ábhar seo: tá an chuid is mó de na réitigh “lofa” le fada an lá agus uaireanta dealraíonn sé go bhfuil an t-ábhar seo curtha ar seilf agus dearmad déanta air go deo. Táimid tar éis dul trí go leor seantaifid agus táimid réidh le leagan nua-aimseartha de na treoracha a roinnt.

Molaimid an t-alt iomlán a léamh sula ndéanann tú na horduithe seo.

Ullmhú córas oibriúcháin

Déanfar an scagadh a chumrú ag baint úsáide as an bhfóntas iptables, a éilíonn síneadh chun oibriú le sonraí GeoIP. Is féidir an síneadh seo a fháil i xtáblaí-addons. Suiteáil xtables-addons síntí do iptables mar mhodúil eithne neamhspleácha, mar sin níl aon ghá leis an eithne OS a ath-thiomsú.

Agus é seo á scríobh, is é 3.9 an leagan reatha de xtables-addons. Mar sin féin, ní féidir ach 20.04 a fháil i stórtha caighdeánach Ubuntu 3.8 LTS, agus 18.04 i stórtha Ubuntu 3.0. Is féidir leat an síneadh a shuiteáil ón mbainisteoir pacáiste leis an ordú seo a leanas:

apt install xtables-addons-common libtext-csv-xs-perl

Tabhair faoi deara go bhfuil difríochtaí beaga ach tábhachtacha idir leagan 3.9 agus staid reatha an tionscadail, a phléfaimid níos déanaí. Chun tógáil ón gcód foinse, suiteáil na pacáistí riachtanacha go léir:

apt install git build-essential autoconf make libtool iptables-dev libxtables-dev pkg-config libnet-cidr-lite-perl libtext-csv-xs-perl

Clón an stór:

git clone https://git.code.sf.net/p/xtables-addons/xtables-addons xtables-addons-xtables-addons


cd xtables-addons-xtables-addons

Tá go leor síntí in xtables-addons, ach níl ach suim againn iontu xt_geoip. Mura dteastaíonn uait síntí neamhriachtanacha a tharraingt isteach sa chóras, is féidir leat iad a eisiamh ón tógáil. Chun seo a dhéanamh ní mór duit an comhad a chur in eagar mconfig. I gcás gach modúl atá ag teastáil, suiteáil y, agus marcáil na cinn nach bhfuil gá leo n. Bailímid:

./autogen.sh

./configure

make

Agus suiteáil le cearta sár-úsáideoirí:

make install

Le linn modúil eithne a shuiteáil, d'fhéadfadh earráid cosúil leis an méid seo a leanas a bheith ann:

INSTALL /root/xtables-addons-xtables-addons/extensions/xt_geoip.ko
At main.c:160:
- SSL error:02001002:system library:fopen:No such file or directory: ../crypto/bio/bss_file.c:72
- SSL error:2006D080:BIO routines:BIO_new_file:no such file: ../crypto/bio/bss_file.c:79
sign-file: certs/signing_key.pem: No such file or directory

Tagann an staid seo chun cinn mar gheall ar an dodhéanta modúil eithne a shíniú, mar gheall ar aon rud le síniú. Is féidir leat an fhadhb seo a réiteach le cúpla ordú:

cd /lib/modules/(uname -r)/build/certs

cat <<EOF > x509.genkey

[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = myexts

[ req_distinguished_name ]
CN = Modules

[ myexts ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid
EOF

openssl req -new -nodes -utf8 -sha512 -days 36500 -batch -x509 -config x509.genkey -outform DER -out signing_key.x509 -keyout signing_key.pem

Tá an modúl eithne tiomsaithe suiteáilte, ach ní bhraitheann an córas é. Iarraimid ar an gcóras léarscáil spleáchais a chruthú agus an modúl nua á chur san áireamh, agus ansin é a luchtú:

depmod -a

modprobe xt_geoip

Déanaimis deimhin de go bhfuil xt_geoip lódáilte isteach sa chóras:

# lsmod | grep xt_geoip
xt_geoip               16384  0
x_tables               40960  2 xt_geoip,ip_tables

Ina theannta sin, déan cinnte go bhfuil an síneadh lódáilte isteach iptables:

# cat /proc/net/ip_tables_matches 
geoip
icmp

Táimid sásta le gach rud agus níl fágtha ach ainm an mhodúil a chur leis / srl / modúilionas go n-oibríonn an modúl tar éis an OS a atosú. As seo amach, tuigeann iptables orduithe geoip, ach níl go leor sonraí aige le bheith ag obair leo. Tosaímid ag luchtú an bhunachar sonraí geoip.

Bunachar sonraí GeoIP a fháil

Cruthaímid eolaire ina stórálfar faisnéis atá intuigthe don síneadh iptables:

mkdir /usr/share/xt_geoip

Ag tús an ailt, luaigh muid go bhfuil difríochtaí idir an leagan ón gcód foinse agus an leagan ón mbainisteoir pacáiste. Is é an difríocht is suntasaí ná an t-athrú ar an díoltóir bunachar sonraí agus an script xt_geoip_dl, a íoslódálann na sonraí is déanaí.

Leagan bainisteoir pacáiste

Tá an script suite sa chonair /usr/lib/xtables-addons, ach nuair a dhéanann tú iarracht é a rith, feicfidh tú earráid nach bhfuil an-fhaisnéiseach:

# ./xt_geoip_dl 
unzip:  cannot find or open GeoLite2-Country-CSV.zip, GeoLite2-Country-CSV.zip.zip or GeoLite2-Country-CSV.zip.ZIP.

Roimhe seo, úsáideadh an táirge GeoLite, ar a dtugtar GeoLite Legacy anois, a dháiltear faoi cheadúnas, mar bhunachar sonraí Creative Commons ASA 4.0 cuideachta MaxMind. Tharla dhá imeacht láithreach leis an táirge seo a “bhris” comhoiriúnacht leis an síneadh iptables.

Ar an gcéad dul síos, i mí Eanáir 2018 D'fhógair faoi ​​fhoirceannadh na tacaíochta don táirge, agus ar 2019 Eanáir, 2, baineadh na naisc go léir chun an seanleagan den bhunachar sonraí a íoslódáil ón láithreán gréasáin oifigiúil. Moltar d’úsáideoirí nua an táirge GeoLite2 nó a leagan íoctha GeoIPXNUMX a úsáid.

Ar an dara dul síos, ó mhí na Nollag 2019 MaxMind a dúirt faoi ​​athrú suntasach ar rochtain ar a mbunachair sonraí. Chun cloí le hAcht Príobháideachta Tomhaltóirí California, chinn MaxMind dáileadh GeoLite2 a "chumhdach" le clárú.

Ós rud é go dteastaíonn uainn a dtáirge a úsáid, cláróimid ar an leathanach seo.

xtables-addons: pacáistí scagaire de réir tíre
Gheobhaidh tú ríomhphost ansin ag iarraidh ort pasfhocal a shocrú. Anois go bhfuil cuntas cruthaithe againn, ní mór dúinn eochair cheadúnais a chruthú. Faighimid an mhír i do chuntas pearsanta Mo Eochracha Cheadúnais, agus ansin cliceáil ar an gcnaipe Gin Eochair Cheadúnais nua.

Agus eochair á cruthú againn, ní chuirfear ach ceist amháin orainn: an úsáidfimid an eochair seo sa chlár Nuashonraithe GeoIP? Freagraimid diúltach agus brúigh an cnaipe Deimhnigh. Taispeánfar an eochair i bhfuinneog aníos. Sábháil an eochair seo in áit shábháilte, mar nuair a dhúnann tú an fhuinneog aníos, ní bheidh tú in ann an eochair iomlán a fheiceáil a thuilleadh.

xtables-addons: pacáistí scagaire de réir tíre
Tá an cumas againn bunachair shonraí GeoLite2 a íoslódáil de láimh, ach níl a bhformáid comhoiriúnach leis an bhformáid a bhfuiltear ag súil leis leis an script xt_geoip_build. Seo an áit a dtagann scripteanna GeoLite2xtables chun tarrthála. Chun scripteanna a rith, suiteáil an modúl NetAddr:: IP perl:

wget https://cpan.metacpan.org/authors/id/M/MI/MIKER/NetAddr-IP-4.079.tar.gz

tar xvf NetAddr-IP-4.079.tar.gz

cd NetAddr-IP-4.079

perl Makefile.PL

make

make install

Ansin, déanaimid clónáil ar an stór le scripteanna agus scríobhaimid an eochair ceadúnais a fuarthas roimhe seo chuig comhad:

git clone https://github.com/mschmitt/GeoLite2xtables.git

cd GeoLite2xtables

echo YOUR_LICENSE_KEY=’123ertyui123' > geolite2.license

Rithfimid na scripteanna:

# Скачиваем данные GeoLite2
./00_download_geolite2
# Скачиваем информацию о странах (для соответствия коду)
./10_download_countryinfo
# Конвертируем GeoLite2 базу в формат GeoLite Legacy 
cat /tmp/GeoLite2-Country-Blocks-IPv{4,6}.csv |
./20_convert_geolite2 /tmp/CountryInfo.txt > /usr/share/xt_geoip/dbip-country-lite.csv

Cuireann MaxMind teorainn le íoslódálacha 2000 in aghaidh an lae agus, le líon mór freastalaithe, tairgeann sé an nuashonrú a thaisceadh ar seachfhreastalaí.

Tabhair faoi deara nach mór an comhad aschuir a ghlaoch dbip-tír-lite.csv... Ar an drochuair, 20_tiontú_geolite2 ní tháirgeann comhad foirfe. Script xt_geoip_thógáil ag súil le trí cholún:

  • tús an raon seoltaí;
  • deireadh raon seoltaí;
  • cód tíre i iso-3166-alpha2.

Agus tá sé cholún sa chomhad aschuir:

  • tús an raon seoltaí (léiriú teaghrán);
  • raon deireadh seoltaí (léiriú teaghrán);
  • tús an raon seoltaí (léiriú uimhriúil);
  • raon deireadh seoltaí (léiriú uimhriúil);
  • cód na tíre;
  • ainm na tíre.

Tá an neamhréireacht seo ríthábhachtach agus is féidir í a cheartú ar cheann amháin de dhá bhealach:

  1. eagar 20_tiontú_geolite2;
  2. eagar xt_geoip_thógáil.

Sa chéad chás táimid ag laghdú prionta go dtí an fhormáid atá ag teastáil, agus sa dara ceann - athraíonn muid an tasc chuig an athróg $cc ar $row->[4]. Ina dhiaidh seo is féidir leat:

/usr/lib/xtables-addons/xt_geoip_build -S /usr/share/xt_geoip/ -D /usr/share/xt_geoip

. . .
 2239 IPv4 ranges for ZA
  348 IPv6 ranges for ZA
   56 IPv4 ranges for ZM
   12 IPv6 ranges for ZM
   56 IPv4 ranges for ZW
   15 IPv6 ranges for ZW

Tabhair faoi deara go bhfuil an t-údar GeoLite2xtables ní mheasann sé go bhfuil a scripteanna réidh le táirgeadh agus tairiscintí rian chun scripteanna bunaidh xt_geoip_* a fhorbairt. Mar sin, bogadh ar aghaidh go dtí an tionól ó na cóid foinse, ina bhfuil na scripteanna nuashonraithe cheana féin.

Leagan foinse

Nuair a shuiteáil scripteanna ó chód foinse xt_geoip_* lonnaithe sa chatalóg /usr/local/libexec/xtables-addons. Úsáideann an leagan seo den script bunachar sonraí IP go Country Lite. Is Ceadúnas Creative Commons Attribution an ceadúnas, agus ó na sonraí atá ar fáil tá na trí cholún fíor-riachtanach. Íoslódáil agus tiomsaigh an bunachar sonraí:

cd /usr/share/xt_geoip/

/usr/local/libexec/xtables-addons/xt_geoip_dl

/usr/local/libexec/xtables-addons/xt_geoip_build

Tar éis na céimeanna seo, tá iptables réidh le bheith ag obair.

Ag baint úsáide as geoip in iptables

Modúl xt_geoip ní chuireann sé ach dhá eochair leis:

geoip match options:
[!] --src-cc, --source-country country[,country...]
	Match packet coming from (one of) the specified country(ies)
[!] --dst-cc, --destination-country country[,country...]
	Match packet going to (one of) the specified country(ies)

NOTE: The country is inputed by its ISO3166 code.

Go ginearálta, fanann na modhanna chun rialacha a chruthú le haghaidh iptables gan athrú. Chun eochracha ó mhodúil bhreise a úsáid, ní mór duit ainm an mhodúil a shonrú go sainráite leis an lasc -m. Mar shampla, riail chun naisc TCP ag teacht isteach ar phort 443 nach ó SAM a bhac ar gach comhéadan:

iptables -I INPUT ! -i lo -p tcp --dport 443 -m geoip ! --src-cc US -j DROP

Ní úsáidtear comhaid cruthaithe ag xt_geoip_build ach amháin nuair a bhíonn rialacha á gcruthú, ach ní chuirtear san áireamh iad agus iad ag scagadh. Mar sin, chun an bunachar sonraí geoip a nuashonrú i gceart, ní mór duit na comhaid iv* a nuashonrú ar dtús, agus ansin na rialacha go léir a úsáideann geoip in iptables a athchruthú.

Conclúid

Is straitéis í an scagadh paicéid atá bunaithe ar thíortha a bhfuil dearmad déanta aici de réir ama. In ainneoin seo, tá uirlisí bogearraí le haghaidh scagadh den sórt sin á bhforbairt agus, b'fhéidir, go luath beidh leagan nua de xt_geoip le soláthraí sonraí geoip nua le feiceáil i mbainisteoirí pacáiste, rud a shimpleoidh go mór saol riarthóirí córais.

xtables-addons: pacáistí scagaire de réir tíre

Ní féidir ach le húsáideoirí cláraithe páirt a ghlacadh sa suirbhé. Sínigh isteach, le do thoil.

Ar bhain tú úsáid as scagadh de réir tíre riamh?

  • 59,1%Tá13

  • 40,9%Uimh9

Vótáil 22 úsáideoir. Staon 3 úsáideoir.

Foinse: will.com

Add a comment