xtables-addons: देश के अनुसार पैकेज फ़िल्टर करें

कुछ देशों से यातायात को रोकने का कार्य सरल लगता है, लेकिन पहली छाप धोखा देने वाली हो सकती है। आज हम आपको बताएंगे कि इसे कैसे लागू किया जा सकता है.

पृष्ठभूमि

इस विषय पर Google खोज के परिणाम निराशाजनक हैं: अधिकांश समाधान लंबे समय से "सड़े हुए" हैं और कभी-कभी ऐसा लगता है कि इस विषय को हमेशा के लिए भुला दिया गया है। हमने बहुत सारे पुराने रिकॉर्ड खंगाले हैं और निर्देशों का एक आधुनिक संस्करण साझा करने के लिए तैयार हैं।

हम अनुशंसा करते हैं कि आप इन आदेशों को निष्पादित करने से पहले पूरा लेख पढ़ें।

ऑपरेटिंग सिस्टम की तैयारी

उपयोगिता का उपयोग करके फ़िल्टरिंग कॉन्फ़िगर की जाएगी iptables, जिसे जियोआईपी डेटा के साथ काम करने के लिए एक एक्सटेंशन की आवश्यकता होती है। यह एक्सटेंशन यहां पाया जा सकता है xtables-addons. xtables-addons स्वतंत्र कर्नेल मॉड्यूल के रूप में iptables के लिए एक्सटेंशन स्थापित करता है, इसलिए OS कर्नेल को पुन: संकलित करने की कोई आवश्यकता नहीं है।

लेखन के समय, xtables-addons का वर्तमान संस्करण 3.9 है। हालाँकि, मानक Ubuntu 20.04 LTS रिपॉजिटरी में केवल 3.8 और Ubuntu 18.04 रिपॉजिटरी में 3.0 पाया जा सकता है। आप निम्नलिखित कमांड से पैकेज मैनेजर से एक्सटेंशन इंस्टॉल कर सकते हैं:

apt install xtables-addons-common libtext-csv-xs-perl

ध्यान दें कि संस्करण 3.9 और परियोजना की वर्तमान स्थिति के बीच छोटे लेकिन महत्वपूर्ण अंतर हैं, जिन पर हम बाद में चर्चा करेंगे। स्रोत कोड से निर्माण करने के लिए, सभी आवश्यक पैकेज स्थापित करें:

apt install git build-essential autoconf make libtool iptables-dev libxtables-dev pkg-config libnet-cidr-lite-perl libtext-csv-xs-perl

रिपॉजिटरी को क्लोन करें:

git clone https://git.code.sf.net/p/xtables-addons/xtables-addons xtables-addons-xtables-addons

cd xtables-addons-xtables-addons

xtables-addons में कई एक्सटेंशन हैं, लेकिन हम केवल इसमें रुचि रखते हैं xt_geoip. यदि आप अनावश्यक एक्सटेंशन को सिस्टम में नहीं खींचना चाहते हैं, तो आप उन्हें बिल्ड से बाहर कर सकते हैं। ऐसा करने के लिए आपको फ़ाइल को संपादित करना होगा mconfig. सभी वांछित मॉड्यूल के लिए, इंस्टॉल करें y, और सभी अनावश्यक को चिह्नित करें n. हम एकत्र करते हैं:

./autogen.sh

./configure

make

और सुपरयूज़र अधिकारों के साथ इंस्टॉल करें:

make install

कर्नेल मॉड्यूल की स्थापना के दौरान, निम्न के समान त्रुटि हो सकती है:

INSTALL /root/xtables-addons-xtables-addons/extensions/xt_geoip.ko
At main.c:160:
- SSL error:02001002:system library:fopen:No such file or directory: ../crypto/bio/bss_file.c:72
- SSL error:2006D080:BIO routines:BIO_new_file:no such file: ../crypto/bio/bss_file.c:79
sign-file: certs/signing_key.pem: No such file or directory

यह स्थिति कर्नेल मॉड्यूल पर हस्ताक्षर करने की असंभवता के कारण उत्पन्न होती है, क्योंकि हस्ताक्षर करने के लिए कुछ भी नहीं. आप इस समस्या को कुछ आदेशों से हल कर सकते हैं:

cd /lib/modules/(uname -r)/build/certs

cat <<EOF > x509.genkey

[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = myexts

[ req_distinguished_name ]
CN = Modules

[ myexts ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid
EOF

openssl req -new -nodes -utf8 -sha512 -days 36500 -batch -x509 -config x509.genkey -outform DER -out signing_key.x509 -keyout signing_key.pem

संकलित कर्नेल मॉड्यूल स्थापित है, लेकिन सिस्टम इसका पता नहीं लगाता है। आइए सिस्टम से नए मॉड्यूल को ध्यान में रखते हुए एक निर्भरता मानचित्र बनाने के लिए कहें, और फिर इसे लोड करें:

depmod -a

modprobe xt_geoip

आइए सुनिश्चित करें कि xt_geoip सिस्टम में लोड किया गया है:

# lsmod | grep xt_geoip
xt_geoip               16384  0
x_tables               40960  2 xt_geoip,ip_tables

इसके अतिरिक्त, सुनिश्चित करें कि एक्सटेंशन iptables में लोड किया गया है:

# cat /proc/net/ip_tables_matches 
geoip
icmp

हम हर चीज से खुश हैं और अब केवल मॉड्यूल का नाम जोड़ना बाकी है / आदि / मॉड्यूलताकि मॉड्यूल ओएस को रिबूट करने के बाद काम करे। अब से, iptables जियोआईपी कमांड को समझता है, लेकिन इसमें काम करने के लिए पर्याप्त डेटा नहीं है। आइए जियोआईपी डेटाबेस लोड करना शुरू करें।

जियोआईपी डेटाबेस प्राप्त करना

हम एक निर्देशिका बनाते हैं जिसमें iptables एक्सटेंशन को समझने योग्य जानकारी संग्रहीत की जाएगी:

mkdir /usr/share/xt_geoip

लेख की शुरुआत में, हमने उल्लेख किया कि स्रोत कोड के संस्करण और पैकेज प्रबंधक के संस्करण के बीच अंतर हैं। सबसे अधिक ध्यान देने योग्य अंतर डेटाबेस विक्रेता और स्क्रिप्ट में परिवर्तन है xt_geoip_dl, जो नवीनतम डेटा डाउनलोड करता है।

पैकेज प्रबंधक संस्करण

स्क्रिप्ट पथ /usr/lib/xtables-addons में स्थित है, लेकिन जब आप इसे चलाने का प्रयास करेंगे, तो आपको एक बहुत अधिक जानकारीपूर्ण त्रुटि दिखाई देगी:

# ./xt_geoip_dl 
unzip:  cannot find or open GeoLite2-Country-CSV.zip, GeoLite2-Country-CSV.zip.zip or GeoLite2-Country-CSV.zip.ZIP.

पहले, जियोलाइट उत्पाद, जिसे अब जियोलाइट लिगेसी के रूप में जाना जाता है, लाइसेंस के तहत वितरित किया जाता था, एक डेटाबेस के रूप में उपयोग किया जाता था क्रिएटिव कॉमन्स एएसए 4.0 कंपनी द्वारा MaxMind. इस उत्पाद के साथ एक साथ दो घटनाएं घटीं जिससे iptables एक्सटेंशन के साथ संगतता "टूट" गई।

सबसे पहले, जनवरी 2018 में की घोषणा की उत्पाद के लिए समर्थन की समाप्ति के बारे में, और 2019 जनवरी, 2 को डेटाबेस के पुराने संस्करण को डाउनलोड करने के सभी लिंक आधिकारिक वेबसाइट से हटा दिए गए। नए उपयोगकर्ताओं को जियोलाइट2 उत्पाद या इसके भुगतान किए गए संस्करण जियोआईपीXNUMX का उपयोग करने की सलाह दी जाती है।

दूसरे, दिसंबर 2019 से मैक्समाइंड उन्होंने कहा उनके डेटाबेस तक पहुंच में एक महत्वपूर्ण बदलाव के बारे में। कैलिफ़ोर्निया उपभोक्ता गोपनीयता अधिनियम का अनुपालन करने के लिए, मैक्समाइंड ने पंजीकरण के साथ जियोलाइट2 के वितरण को "कवर" करने का निर्णय लिया।

चूँकि हम उनके उत्पाद का उपयोग करना चाहते हैं, हम इस पृष्ठ पर पंजीकरण करेंगे।

फिर आपको एक ईमेल प्राप्त होगी जिसमें आपसे पासवर्ड सेट करने के लिए कहा जाएगा। अब जब हमने एक खाता बना लिया है, तो हमें एक लाइसेंस कुंजी बनाने की आवश्यकता है। आपके व्यक्तिगत खाते में हमें वह वस्तु मिल जाती है मेरी लाइसेंस कुंजियाँ, और फिर बटन पर क्लिक करें नई लाइसेंस कुंजी जनरेट करें.

कुंजी बनाते समय हमसे केवल एक ही प्रश्न पूछा जाएगा: क्या हम इस कुंजी का उपयोग जियोआईपी अपडेट प्रोग्राम में करेंगे? हम नकारात्मक उत्तर देते हैं और बटन दबाते हैं पुष्टि करें. कुंजी एक पॉप-अप विंडो में प्रदर्शित होगी. इस कुंजी को किसी सुरक्षित स्थान पर सहेजें, क्योंकि एक बार जब आप पॉप-अप विंडो बंद कर देंगे, तो आप पूरी कुंजी नहीं देख पाएंगे।

हमारे पास जियोलाइट2 डेटाबेस को मैन्युअल रूप से डाउनलोड करने की क्षमता है, लेकिन उनका प्रारूप xt_geoip_build स्क्रिप्ट द्वारा अपेक्षित प्रारूप के साथ संगत नहीं है। यहीं पर जियोलाइट2एक्सटेबल्स स्क्रिप्ट बचाव के लिए आती हैं। स्क्रिप्ट चलाने के लिए, NetAddr::IP पर्ल मॉड्यूल स्थापित करें:

wget https://cpan.metacpan.org/authors/id/M/MI/MIKER/NetAddr-IP-4.079.tar.gz

tar xvf NetAddr-IP-4.079.tar.gz

cd NetAddr-IP-4.079

perl Makefile.PL

make

make install

इसके बाद, हम स्क्रिप्ट के साथ रिपॉजिटरी को क्लोन करते हैं और पहले से प्राप्त लाइसेंस कुंजी को एक फ़ाइल में लिखते हैं:

git clone https://github.com/mschmitt/GeoLite2xtables.git

cd GeoLite2xtables

echo YOUR_LICENSE_KEY=’123ertyui123' > geolite2.license

आइए स्क्रिप्ट चलाएँ:

# Скачиваем данные GeoLite2
./00_download_geolite2
# Скачиваем информацию о странах (для соответствия коду)
./10_download_countryinfo
# Конвертируем GeoLite2 базу в формат GeoLite Legacy 
cat /tmp/GeoLite2-Country-Blocks-IPv{4,6}.csv |
./20_convert_geolite2 /tmp/CountryInfo.txt > /usr/share/xt_geoip/dbip-country-lite.csv

मैक्समाइंड प्रति दिन 2000 डाउनलोड की सीमा लगाता है और बड़ी संख्या में सर्वर के साथ, प्रॉक्सी सर्वर पर अपडेट को कैश करने की पेशकश करता है।

कृपया ध्यान दें कि आउटपुट फ़ाइल को कॉल किया जाना चाहिए dbip-देश-lite.csv... दुर्भाग्य से, 20_कन्वर्ट_जियोलाइट2 एक आदर्श फ़ाइल तैयार नहीं करता. लिखी हुई कहानी xt_geoip_build तीन कॉलम की अपेक्षा:

• पता सीमा की शुरुआत;
• पता सीमा का अंत;
• आईएसओ-3166-अल्फा2 में देश कोड।

और आउटपुट फ़ाइल में छह कॉलम हैं:

• पता श्रेणी की शुरुआत (स्ट्रिंग प्रतिनिधित्व);
• पता सीमा का अंत (स्ट्रिंग प्रतिनिधित्व);
• पता श्रेणी की शुरुआत (संख्यात्मक प्रतिनिधित्व);
• पता सीमा का अंत (संख्यात्मक प्रतिनिधित्व);
• देश का कोड;
• देश का नाम.

यह विसंगति गंभीर है और इसे दो तरीकों में से एक में ठीक किया जा सकता है:

1. नियम 20_कन्वर्ट_जियोलाइट2;
2. नियम xt_geoip_build.

पहले मामले में हम कम करते हैं printf आवश्यक प्रारूप में, और दूसरे में - हम असाइनमेंट को वेरिएबल में बदलते हैं $सीसी पर $पंक्ति->[4]. इसके बाद आप निर्माण कर सकते हैं:

/usr/lib/xtables-addons/xt_geoip_build -S /usr/share/xt_geoip/ -D /usr/share/xt_geoip

. . .
 2239 IPv4 ranges for ZA
  348 IPv6 ranges for ZA
   56 IPv4 ranges for ZM
   12 IPv6 ranges for ZM
   56 IPv4 ranges for ZW
   15 IPv6 ranges for ZW

ध्यान दें कि लेखक जियोलाइट2एक्सटेबल्स अपनी स्क्रिप्ट्स को प्रोडक्शन और ऑफर के लिए तैयार नहीं मानता नज़र रखें मूल xt_geoip_* स्क्रिप्ट के विकास के लिए। इसलिए, चलिए स्रोत कोड से असेंबली की ओर बढ़ते हैं, जिसमें ये स्क्रिप्ट पहले ही अपडेट की जा चुकी हैं।

स्रोत संस्करण

सोर्स कोड स्क्रिप्ट से इंस्टाल करते समय xt_geoip_* कैटलॉग में स्थित हैं /usr/local/libexec/xtables-addons. स्क्रिप्ट का यह संस्करण एक डेटाबेस का उपयोग करता है आईपी ​​टू कंट्री लाइट. लाइसेंस क्रिएटिव कॉमन्स एट्रिब्यूशन लाइसेंस है, और उपलब्ध डेटा से बहुत आवश्यक तीन कॉलम हैं। डेटाबेस डाउनलोड करें और इकट्ठा करें:

cd /usr/share/xt_geoip/

/usr/local/libexec/xtables-addons/xt_geoip_dl

/usr/local/libexec/xtables-addons/xt_geoip_build

इन चरणों के बाद, iptables काम करने के लिए तैयार है।

iptables में जियोआईपी का उपयोग करना

मॉड्यूल xt_geoip केवल दो कुंजियाँ जोड़ता है:

geoip match options:
[!] --src-cc, --source-country country[,country...]
	Match packet coming from (one of) the specified country(ies)
[!] --dst-cc, --destination-country country[,country...]
	Match packet going to (one of) the specified country(ies)

NOTE: The country is inputed by its ISO3166 code.

सामान्य तौर पर, iptables के लिए नियम बनाने की विधियाँ अपरिवर्तित रहती हैं। अतिरिक्त मॉड्यूल से कुंजियों का उपयोग करने के लिए, आपको -m स्विच के साथ मॉड्यूल का नाम स्पष्ट रूप से निर्दिष्ट करना होगा। उदाहरण के लिए, पोर्ट 443 पर आने वाले टीसीपी कनेक्शन को सभी इंटरफेस पर यूएसए से ब्लॉक करने का नियम:

iptables -I INPUT ! -i lo -p tcp --dport 443 -m geoip ! --src-cc US -j DROP

xt_geoip_build द्वारा बनाई गई फ़ाइलें केवल नियम बनाते समय उपयोग की जाती हैं, लेकिन फ़िल्टर करते समय ध्यान में नहीं रखी जाती हैं। इस प्रकार, जियोआईपी डेटाबेस को सही ढंग से अपडेट करने के लिए, आपको पहले iv* फ़ाइलों को अपडेट करना होगा, और फिर आईपीटेबल्स में जियोआईपी का उपयोग करने वाले सभी नियमों को फिर से बनाना होगा।

निष्कर्ष

देशों के आधार पर पैकेटों को फ़िल्टर करना एक ऐसी रणनीति है जिसे समय के साथ कुछ हद तक भुला दिया गया है। इसके बावजूद, ऐसे फ़िल्टरिंग के लिए सॉफ़्टवेयर टूल विकसित किए जा रहे हैं और, शायद, जल्द ही नए जियोआईपी डेटा प्रदाता के साथ xt_geoip का एक नया संस्करण पैकेज प्रबंधकों में दिखाई देगा, जो सिस्टम प्रशासकों के जीवन को बहुत सरल बना देगा।

केवल पंजीकृत उपयोगकर्ता ही सर्वेक्षण में भाग ले सकते हैं। साइन इन करेंकृपया।

क्या आपने कभी देश के अनुसार फ़िल्टरिंग का उपयोग किया है?

• 59,1% तक हाँ13

• 40,9% तक नंबर 9

22 उपयोगकर्ताओं ने मतदान किया। 3 उपयोगकर्ता अनुपस्थित रहे।

स्रोत: www.habr.com