ืืืฉืืื ืฉื ืืกืืืช ืชื ืืขื ืืืืื ืืช ืืกืืืืืช ื ืจืืืช ืคืฉืืื, ืืื ืจืืฉื ืจืืฉืื ื ืืืื ืืืืขืืช. ืืืื ื ืกืคืจ ืืื ืืืฆื ื ืืชื ืืืืฉื ืืืช.
ืคืจืืืกืืืจืื
ืืชืืฆืืืช ืฉื ืืืคืืฉ ืืืืื ืื ืืฉื ืื ืืืืืืืช: ืจืื ืืคืชืจืื ืืช ืืืจ ืืืื "ืจืงืืืื" ืืืคืขืืื ื ืืื ืฉืื ืืฉื ืืื ื ืื ื ืื ืฉืื ืื ืฆื. ืกืืจืงื ื ืืจืื ืชืงืืืืื ืืฉื ืื ืืืืื ืื ืืฉืชืฃ ืืจืกื ืืืืจื ืืช ืฉื ืืืืจืืืช.
ืื ื ืืืืืฆืื ืืงืจืื ืืช ืืืืืจ ืืืื ืืคื ื ืืืฆืืข ืคืงืืืืช ืืื.
ืืื ืช ืืขืจืืช ืืืคืขืื
ืืกืื ืื ืืืืืจ ืืืืฆืขืืช ืืื ืืฉืืจืืช iptables, ืืฉืจ ืืืจืฉ ืืจืืื ืืื ืืขืืื ืขื ื ืชืื ื GeoIP. ื ืืชื ืืืฆืื ืืช ืืืจืืื ืืื ื
ืืืื ืืืชืืื, ืืืจืกื ืื ืืืืืช ืฉื xtables-addons ืืื 3.9. ืขื ืืืช, ื ืืชื ืืืฆืื ืจืง 20.04 ืืืืืจืื ืืกืื ืืจืืืื ืฉื Ubuntu 3.8 LTS, ื-18.04 ืืืืืจืื ืฉื Ubuntu 3.0. ืืชื ืืืื ืืืชืงืื ืืช ืืชืืกืฃ ืืื ืื ืืืืืืืช ืขื ืืคืงืืื ืืืื:
apt install xtables-addons-common libtext-csv-xs-perl
ืฉืืื ืื ืฉืืฉ ืืืืืื ืงืื ืื ืื ืืฉืืืื ืืื ืืจืกื 3.9 ืืืฆื ืื ืืืื ืฉื ืืคืจืืืงื, ืขืืืื ื ืืื ืืืืฉื. ืืื ืืื ืืช ืืงืื ืืงืืจ, ืืชืงื ืืช ืื ืืืืืืืช ืืืจืืฉืืช:
apt install git build-essential autoconf make libtool iptables-dev libxtables-dev pkg-config libnet-cidr-lite-perl libtext-csv-xs-perl
ืฉืืคื ืืช ืืืืืจ:
git clone https://git.code.sf.net/p/xtables-addons/xtables-addons xtables-addons-xtables-addons
cd xtables-addons-xtables-addons
xtables-addons ืืืื ืืจืืืืช ืจืืืช, ืืื ืื ืื ื ืืขืื ืืื ืื ืจืง ื xt_geoip. ืื ืืื ื ืจืืฆื ืืืจืืจ ืชืืกืคืื ืืืืชืจืื ืืืขืจืืช, ืืชื ืืืื ืืืืฆืื ืืืชื ืื-build. ืืฉื ืื ืขืืื ืืขืจืื ืืช ืืงืืืฅ mconfig. ืขืืืจ ืื ืืืืืืืื ืืจืฆืืืื, ืืชืงื y, ืืกืื ืืช ืื ืืืืืชืจืื n. ืื ืื ื ืืืกืคืื:
./autogen.sh
./configure
make
ืืืชืงื ืขื ืืืืืืช ืืฉืชืืฉ-ืขื:
make install
ืืืืื ืืชืงื ืช ืืืืืื ืืืื, ืขืืืื ืืืชืจืืฉ ืฉืืืื ืืืื ืืื ืืืื:
INSTALL /root/xtables-addons-xtables-addons/extensions/xt_geoip.ko
At main.c:160:
- SSL error:02001002:system library:fopen:No such file or directory: ../crypto/bio/bss_file.c:72
- SSL error:2006D080:BIO routines:BIO_new_file:no such file: ../crypto/bio/bss_file.c:79
sign-file: certs/signing_key.pem: No such file or directory
ืืฆื ืื ื ืืฆืจ ืขืงื ืืืกืจ ืืืคืฉืจืืช ืืืชืื ืขื ืืืืืื ืืืื, ืืืืืื ืืื ืื ืืืชืื. ืืชื ืืืื ืืคืชืืจ ืืช ืืืขืื ืขื ืืื ืคืงืืืืช:
cd /lib/modules/(uname -r)/build/certs
cat <<EOF > x509.genkey
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = myexts
[ req_distinguished_name ]
CN = Modules
[ myexts ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid
EOF
openssl req -new -nodes -utf8 -sha512 -days 36500 -batch -x509 -config x509.genkey -outform DER -out signing_key.x509 -keyout signing_key.pem
ืืืืื ืืืืื ืืืืืืืจ ืืืชืงื, ืื ืืืขืจืืช ืืื ื ืืืื ืืืชื. ืืืื ื ืืงืฉ ืืืืขืจืืช ืืืฆืืจ ืืคืช ืชืืืช ืชืื ืืชืืฉืืืช ืืืืืื ืืืืฉ, ืืืืืจ ืืื ืืืขืื ืืืชื:
depmod -a
modprobe xt_geoip
ืืืื ื ืืืื ืฉ-xt_geoip ื ืืขื ืืืขืจืืช:
# lsmod | grep xt_geoip
xt_geoip 16384 0
x_tables 40960 2 xt_geoip,ip_tables
ืื ืืกืฃ, ืืื ืฉืืชืืกืฃ ื ืืขื ืืชืื iptables:
# cat /proc/net/ip_tables_matches
geoip
icmp
ืื ืื ื ืืจืืฆืื ืืืื ืืื ืื ืฉื ืืชืจ ืืื ืืืืกืืฃ ืืช ืฉื ืืืืืื / ืืื '/ ืืืืืืืืื ืฉืืืืืื ืืคืขื ืืืืจ ืืคืขืื ืืืืฉ ืฉื ืืขืจืืช ืืืคืขืื. ืืขืชื ืืืืื, iptables ืืืื ื ืคืงืืืืช geoip, ืื ืืื ืื ืืกืคืืง ื ืชืื ืื ืืขืืื ืืืชื. ืืืื ื ืชืืื ืืืขืื ืืช ืืกื ืื ืชืื ืื ืฉื geoip.
ืืฉืืช ืืกื ืื ืชืื ืื ืฉื GeoIP
ืื ื ืืืฆืจืื ืกืคืจืืื ืฉืื ืืืืืกื ืืืืข ืืืืื ืืชืืกืฃ iptables:
mkdir /usr/share/xt_geoip
ืืชืืืืช ืืืืืจ ืืืืจื ื ืฉืืฉ ืืืืืื ืืื ืืืจืกื ืืงืื ืืืงืืจ ืืืจืกื ืืื ืื ืืืืืืืช. ืืืืื ืืืืื ืืืืชืจ ืืื ืืฉืื ืื ืืกืคืง ืืกื ืื ืชืื ืื ืืืกืงืจืืคื xt_geoip_dl, ืืฉืจ ืืืจืื ืืช ืื ืชืื ืื ืืขืืื ืืื ืืืืชืจ.
ืืจืกืช ืื ืื ืืืืืืืช
ืืกืงืจืืคื ืืืืงื ืื ืชืื /usr/lib/xtables-addons, ืื ืืืฉืจ ืชื ืกื ืืืคืขืื ืืืชื, ืชืจืื ืฉืืืื ืื ืืืื ืืื ืคืืจืืืืืืช:
# ./xt_geoip_dl
unzip: cannot find or open GeoLite2-Country-CSV.zip, GeoLite2-Country-CSV.zip.zip or GeoLite2-Country-CSV.zip.ZIP.
ืืขืืจ, ืืืฆืจ GeoLite, ืืืืืข ืืืื ืืฉื GeoLite Legacy, ืืืืคืฅ ืืจืืฉืืื, ืฉืืืฉ ืืืกื ื ืชืื ืื
ืจืืฉืืช, ืืื ืืืจ 2018
ืฉื ืืช, ืืื ืืฆืืืจ 2019 MaxMind
ืืืืืื ืฉืื ื ืจืืฆืื ืืืฉืชืืฉ ืืืืฆืจ ืฉืืื, ื ืืจืฉื ืืขืืื ืื.
ืืืืจ ืืื ืชืงืื ืืืืืื ืืืืงืฉ ืืื ืืืืืืจ ืกืืกืื. ืืขืช, ืืืืจ ืฉืืฆืจื ื ืืฉืืื, ืขืืื ื ืืืฆืืจ ืืคืชื ืจืืฉืืื. ืืืฉืืื ืืืืฉื ืฉืื ืื ื ืืืฆืืื ืืช ืืคืจืื ืืคืชืืืช ืืจืืฉืืื ืฉืื, ืืืืืจ ืืื ืืืฅ ืขื ืืืคืชืืจ ืฆืืจ ืืคืชื ืจืืฉืืื ืืืฉ.
ืืขืช ืืฆืืจืช ืืคืชื, ื ืฉืื ืจืง ืฉืืื ืืืช: ืืื ื ืฉืชืืฉ ืืืคืชื ืื ืืชืืื ืืช GeoIP Update? ืื ื ืขืื ืื ืืฉืืืื ืืืืืฆืื ืขื ืืืคืชืืจ ืืืฉืจ. ืืืคืชื ืืืฆื ืืืืื ืืืงืคืฅ. ืฉืืืจ ืืคืชื ืื ืืืงืื ืืืื, ืืืืืื ืฉืืจืืข ืฉืชืกืืืจ ืืช ืืืืื ืืืืงืคืฅ, ืื ืชืืื ืขืื ืืจืืืช ืืช ืืืคืชื ืืืื.
ืืฉ ืื ื ืืช ืืืืืืช ืืืืจืื ืืกืื ื ืชืื ืื ืฉื GeoLite2 ืืืืคื ืืื ื, ืื ืืคืืจืื ืฉืืื ืืื ื ืชืืื ืืคืืจืื ืืืฆืืคื ืืืกืงืจืืคื xt_geoip_build. ืื ืืืงืื ืฉืื ืกืงืจืืคืืื ืฉื GeoLite2xtables ืืืื ืืืฆืื. ืืื ืืืคืขืื ืกืงืจืืคืืื, ืืชืงื ืืช ืืืืื NetAddr::IP perl:
wget https://cpan.metacpan.org/authors/id/M/MI/MIKER/NetAddr-IP-4.079.tar.gz
tar xvf NetAddr-IP-4.079.tar.gz
cd NetAddr-IP-4.079
perl Makefile.PL
make
make install
ืืืืจ ืืื, ืื ื ืืฉืืคืืื ืืช ืืืืืจ ืขื ืกืงืจืืคืืื ืืืืชืืื ืืช ืืคืชื ืืจืืฉืืื ืฉืืืฉื ืงืืื ืืื ืืงืืืฅ:
git clone https://github.com/mschmitt/GeoLite2xtables.git
cd GeoLite2xtables
echo YOUR_LICENSE_KEY=โ123ertyui123' > geolite2.license
ืืืื ื ืจืืฅ ืืช ืืกืงืจืืคืืื:
# ะกะบะฐัะธะฒะฐะตะผ ะดะฐะฝะฝัะต GeoLite2
./00_download_geolite2
# ะกะบะฐัะธะฒะฐะตะผ ะธะฝัะพัะผะฐัะธั ะพ ัััะฐะฝะฐั
(ะดะปั ัะพะพัะฒะตัััะฒะธั ะบะพะดั)
./10_download_countryinfo
# ะะพะฝะฒะตััะธััะตะผ GeoLite2 ะฑะฐะทั ะฒ ัะพัะผะฐั GeoLite Legacy
cat /tmp/GeoLite2-Country-Blocks-IPv{4,6}.csv |
./20_convert_geolite2 /tmp/CountryInfo.txt > /usr/share/xt_geoip/dbip-country-lite.csv
MaxMind ืืืืื ืืืืื ืฉื 2000 ืืืจืืืช ืืืื, ืืขื ืืกืคืจ ืจื ืฉื ืฉืจืชืื ืืฆืืขื ืืืืกื ืืช ืืขืืืื ืืฉืจืช ืคืจืืงืกื.
ืฉืืื ืื ืฉืืฉ ืืงืจืื ืืงืืืฅ ืืคืื dbip-country-lite.csv... ืืฆืขืจื, 20_convert_geolite2 ืื ืืืืฆืจ ืงืืืฅ ืืืฉืื. ืชึทืกืจึดืื xt_geoip_build ืืฆืคื ืืฉืืืฉ ืขืืืืืช:
- ืชืืืืช ืืืื ืืืชืืืืช;
- ืกืืฃ ืืืื ืืืชืืืืช;
- ืงืื ืืืื ื ื-iso-3166-alpha2.
ืืงืืืฅ ืืคืื ืืืื ืฉืฉ ืขืืืืืช:
- ืชืืืืช ืืืื ืืืชืืืืช (ืืืฆืื ืืืจืืืช);
- ืกืืฃ ืืืื ืืืชืืืืช (ืืืฆืื ืืืจืืืช);
- ืชืืืืช ืืืื ืืืชืืืืช (ืืืฆืื ืืกืคืจื);
- ืกืืฃ ืืืื ืืืชืืืืช (ืืืฆืื ืืกืคืจื);
- ืงืื ืืืืื ื;
- ืฉื ืืืืื ื.
ืื ืืชืืื ืื ืืื ืงืจืืืืช ืื ืืชื ืืชืงื ืืืชื ืืืืช ืืฉืชื ืืจืืื:
- ืึทืขึฒืจืึนื 20_convert_geolite2;
- ืึทืขึฒืจืึนื xt_geoip_build.
ืืืงืจื ืืจืืฉืื ืื ื ืืฆืืฆืืื
/usr/lib/xtables-addons/xt_geoip_build -S /usr/share/xt_geoip/ -D /usr/share/xt_geoip
. . .
2239 IPv4 ranges for ZA
348 IPv6 ranges for ZA
56 IPv4 ranges for ZM
12 IPv6 ranges for ZM
56 IPv4 ranges for ZW
15 IPv6 ranges for ZW
ืฉืืื ืื ืฉืืืืชื
ืืจืกืช ืืืงืืจ
ืืขืช ืืชืงื ื ืืกืงืจืืคืืื ืฉื ืงืื ืืงืืจ xt_geoip_* ื ืืฆืืื ืืงืืืื /usr/local/libexec/xtables-addons. ืืจืกื ืื ืฉื ืืกืงืจืืคื ืืฉืชืืฉืช ืืืกื ื ืชืื ืื
cd /usr/share/xt_geoip/
/usr/local/libexec/xtables-addons/xt_geoip_dl
/usr/local/libexec/xtables-addons/xt_geoip_build
ืืืืจ ืืฉืืืื ืืืื, iptables ืืืื ืืขืืืื.
ืฉืืืืฉ ื-geoip ื-iptables
ะะพะดัะปั xt_geoip ืืืกืืฃ ืจืง ืฉื ื ืืคืชืืืช:
geoip match options:
[!] --src-cc, --source-country country[,country...]
Match packet coming from (one of) the specified country(ies)
[!] --dst-cc, --destination-country country[,country...]
Match packet going to (one of) the specified country(ies)
NOTE: The country is inputed by its ISO3166 code.
ืืฉืืืืช ืืืฆืืจืช ืืืืื ืขืืืจ iptables, ืืืืคื ืืืื, ื ืฉืืจืืช ืืื ืฉืื ืื. ืืื ืืืฉืชืืฉ ืืืคืชืืืช ืืืืืืืื ื ืืกืคืื, ืขืืื ืืฆืืื ืืืคืืจืฉ ืืช ืฉื ืืืืืื ืืืืฆืขืืช ืืืชื -m. ืืืืืื, ืืื ืืืกืืืช ืืืืืจื TCP ื ืื ืกืื ืืืฆืืื 443 ืฉืื ืืืจื"ื ืืื ืืืืฉืงืื:
iptables -I INPUT ! -i lo -p tcp --dport 443 -m geoip ! --src-cc US -j DROP
ืงืืฆืื ืฉื ืืฆืจื ืขื ืืื xt_geoip_build ืืฉืืฉืื ืจืง ืืขืช ืืฆืืจืช ืืืืื, ืื ืืื ื ื ืืงืืื ืืืฉืืื ืืขืช โโืืกืื ืื. ืืคืืื, ืืื ืืขืืื ื ืืื ืืช ืืกื ืื ืชืื ืื ืฉื geoip, ืชืืืื ืขืืื ืืขืืื ืืช ืงืืฆื ื-iv*, ืืืืืจ ืืื ืืืฆืืจ ืืืืฉ ืืช ืื ืืืืืื ืืืฉืชืืฉืื ื-geoip ื-iptables.
ืืกืงื ื
ืกืื ืื ืื ืืช ืขื ืืกืืก ืืืื ืืช ืืื ืืกืืจืืืื ืฉื ืฉืืื ืืขื ืืืืื. ืืืจืืช ืืืช, ืืคืชืืื ืืื ืชืืื ื ืืกืื ืื ืืื ืืืืื ืืงืจืื ืชืืคืืข ืืจืกื ืืืฉื ืฉื xt_geoip ืขื ืกืคืง ื ืชืื ื geoip ืืืฉ ืืื ืืื ืืืืืืืช, ืื ืฉืืคืฉื ืืืื ืืช ืืื ืื ืืื ืืืขืจืืช.
ืจืง ืืฉืชืืฉืื ืจืฉืืืื ืืืืืื ืืืฉืชืชืฃ ืืกืงืจ.
ืืื ืื ืคืขื ืืฉืชืืฉืช ืืกืื ืื ืืคื ืืืื ื?
-
59,1%ืื13
-
40,9%ืืกืคืจ 9
22 ืืฉืชืืฉืื ืืฆืืืขื. 3 ืืฉืชืืฉืื ื ืื ืขื.
ืืงืืจ: www.habr.com