xtables-addons: გაფილტრეთ პაკეტები ქვეყნების მიხედვით

გარკვეული ქვეყნებიდან ტრაფიკის დაბლოკვის ამოცანა მარტივი ჩანს, მაგრამ პირველი შთაბეჭდილება შეიძლება იყოს მოტყუებული. დღეს ჩვენ გეტყვით, თუ როგორ შეიძლება ეს განხორციელდეს.

წინაისტორია

ამ თემაზე გუგლის ძიების შედეგები გულდასაწყვეტია: გადაწყვეტილებების უმეტესობა დიდი ხანია „დამპალია“ და ხანდახან ჩანს, რომ ეს თემა თაროზეა და სამუდამოდ დავიწყებულია. ჩვენ გავიარეთ ბევრი ძველი ჩანაწერი და მზად ვართ გავუზიაროთ ინსტრუქციების თანამედროვე ვერსია.

ჩვენ გირჩევთ, რომ წაიკითხოთ მთელი სტატია ამ ბრძანებების შესრულებამდე.

ოპერაციული სისტემის მომზადება

ფილტრაციის კონფიგურაცია მოხდება უტილიტის გამოყენებით iptables, რომელიც მოითხოვს გაფართოებას GeoIP მონაცემებთან მუშაობისთვის. ეს გაფართოება შეგიძლიათ იხილოთ აქ xtables-დანამატები. xtables-addons აყენებს გაფართოებებს iptables-ისთვის, როგორც დამოუკიდებელი ბირთვის მოდულები, ამიტომ არ არის საჭირო OS-ის ბირთვის ხელახლა შედგენა.

წერის დროს, xtables-addons-ის ამჟამინდელი ვერსია არის 3.9. თუმცა, მხოლოდ 20.04 შეიძლება მოიძებნოს სტანდარტულ Ubuntu 3.8 LTS საცავებში და 18.04 Ubuntu 3.0 საცავებში. შეგიძლიათ დააინსტალიროთ გაფართოება პაკეტის მენეჯერიდან შემდეგი ბრძანებით:

apt install xtables-addons-common libtext-csv-xs-perl

გაითვალისწინეთ, რომ არის მცირე, მაგრამ მნიშვნელოვანი განსხვავებები 3.9 ვერსიასა და პროექტის ამჟამინდელ მდგომარეობას შორის, რაზეც მოგვიანებით განვიხილავთ. წყაროს კოდიდან შესაქმნელად, დააინსტალირეთ ყველა საჭირო პაკეტი:

apt install git build-essential autoconf make libtool iptables-dev libxtables-dev pkg-config libnet-cidr-lite-perl libtext-csv-xs-perl

საცავის კლონირება:

git clone https://git.code.sf.net/p/xtables-addons/xtables-addons xtables-addons-xtables-addons

cd xtables-addons-xtables-addons

xtables-addons შეიცავს ბევრ გაფართოებას, მაგრამ ჩვენ მხოლოდ გვაინტერესებს xt_geoip. თუ არ გსურთ სისტემაში ზედმეტი გაფართოებების გადატანა, შეგიძლიათ გამორიცხოთ ისინი კონსტრუქციიდან. ამისათვის საჭიროა ფაილის რედაქტირება mconfig. ყველა სასურველი მოდულისთვის დააინსტალირეთ yდა მონიშნეთ ყველა არასაჭირო n. ჩვენ ვაგროვებთ:

./autogen.sh

./configure

make

და დააინსტალირეთ სუპერმომხმარებლის უფლებებით:

make install

ბირთვის მოდულების დაყენებისას შეიძლება მოხდეს შემდეგი შეცდომა:

INSTALL /root/xtables-addons-xtables-addons/extensions/xt_geoip.ko
At main.c:160:
- SSL error:02001002:system library:fopen:No such file or directory: ../crypto/bio/bss_file.c:72
- SSL error:2006D080:BIO routines:BIO_new_file:no such file: ../crypto/bio/bss_file.c:79
sign-file: certs/signing_key.pem: No such file or directory

ეს სიტუაცია წარმოიქმნება ბირთვის მოდულების ხელმოწერის შეუძლებლობის გამო, რადგან არაფერი მოაწერს ხელს. ამ პრობლემის მოგვარება შეგიძლიათ რამდენიმე ბრძანებით:

cd /lib/modules/(uname -r)/build/certs

cat <<EOF > x509.genkey

[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = myexts

[ req_distinguished_name ]
CN = Modules

[ myexts ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid
EOF

openssl req -new -nodes -utf8 -sha512 -days 36500 -batch -x509 -config x509.genkey -outform DER -out signing_key.x509 -keyout signing_key.pem

შედგენილი ბირთვის მოდული დაინსტალირებულია, მაგრამ სისტემა მას ვერ აღმოაჩენს. მოდით ვთხოვოთ სისტემას შექმნას დამოკიდებულების რუკა ახალი მოდულის გათვალისწინებით და შემდეგ ჩატვირთოს იგი:

depmod -a

modprobe xt_geoip

მოდით დავრწმუნდეთ, რომ xt_geoip დატვირთულია სისტემაში:

# lsmod | grep xt_geoip
xt_geoip               16384  0
x_tables               40960  2 xt_geoip,ip_tables

გარდა ამისა, დარწმუნდით, რომ გაფართოება ჩატვირთულია iptables-ში:

# cat /proc/net/ip_tables_matches 
geoip
icmp

ჩვენ კმაყოფილი ვართ ყველაფრით და რჩება მხოლოდ მოდულის სახელის დამატება / etc / მოდულებირათა მოდული მუშაობდეს OS-ის გადატვირთვის შემდეგ. ამიერიდან, iptables-ს ესმის geoip ბრძანებები, მაგრამ მას არ აქვს საკმარისი მონაცემები სამუშაოდ. დავიწყოთ geoip მონაცემთა ბაზის ჩატვირთვა.

GeoIP მონაცემთა ბაზის მიღება

ჩვენ ვქმნით დირექტორიას, რომელშიც შეინახება iptables გაფართოებისთვის გასაგები ინფორმაცია:

mkdir /usr/share/xt_geoip

სტატიის დასაწყისში აღვნიშნეთ, რომ არსებობს განსხვავებები ვერსიას საწყისი კოდიდან და პაკეტის მენეჯერის ვერსიას შორის. ყველაზე შესამჩნევი განსხვავება არის მონაცემთა ბაზის გამყიდველისა და სკრიპტის ცვლილება xt_geoip_dl, რომელიც ჩამოტვირთავს უახლეს მონაცემებს.

პაკეტის მენეჯერის ვერსია

სკრიპტი მდებარეობს ბილიკზე /usr/lib/xtables-addons, მაგრამ როცა ცდილობთ მის გაშვებას, ნახავთ არც თუ ისე ინფორმაციულ შეცდომას:

# ./xt_geoip_dl 
unzip:  cannot find or open GeoLite2-Country-CSV.zip, GeoLite2-Country-CSV.zip.zip or GeoLite2-Country-CSV.zip.ZIP.

ადრე GeoLite პროდუქტი, რომელიც ახლა ცნობილია როგორც GeoLite Legacy, ლიცენზირებული იყო, გამოიყენებოდა როგორც მონაცემთა ბაზა. Creative Commons ASA 4.0 კომპანია MaxMind. ამ პროდუქტთან ერთდროულად ორი მოვლენა მოხდა, რამაც "დაარღვია" თავსებადობა iptables გაფართოებასთან.

პირველ რიგში, 2018 წლის იანვარში გამოაცხადა პროდუქტის მხარდაჭერის შეწყვეტის შესახებ და 2019 წლის 2 იანვარს ბაზის ძველი ვერსიის ჩამოტვირთვის ყველა ბმული წაიშალა ოფიციალური ვებსაიტიდან. ახალ მომხმარებლებს ურჩევენ გამოიყენონ GeoLite2 პროდუქტი ან მისი ფასიანი ვერსია GeoIPXNUMX.

მეორეც, 2019 წლის დეკემბრიდან MaxMind განაცხადა მათ მონაცემთა ბაზებზე წვდომის მნიშვნელოვანი ცვლილების შესახებ. კალიფორნიის მომხმარებელთა კონფიდენციალურობის აქტის შესასრულებლად, MaxMind-მა გადაწყვიტა GeoLite2-ის დისტრიბუცია „დაფაროს“ რეგისტრაციით.

ვინაიდან გვსურს მათი პროდუქტის გამოყენება, ჩვენ დავრეგისტრირდებით ამ გვერდზე.

ამის შემდეგ თქვენ მიიღებთ ელ.წერილს, რომელიც მოგთხოვთ პაროლის დაყენებას. ახლა, როდესაც ჩვენ შევქმენით ანგარიში, ჩვენ უნდა შევქმნათ ლიცენზიის გასაღები. თქვენს პირად ანგარიშში ჩვენ ვპოულობთ ნივთს ჩემი სალიცენზიო კლავიშები, და შემდეგ დააჭირეთ ღილაკს ახალი ლიცენზიის გასაღების გენერირება.

გასაღების შექმნისას დაგვსვამენ მხოლოდ ერთ კითხვას: გამოვიყენებთ თუ არა ამ გასაღებს GeoIP Update პროგრამაში? ვპასუხობთ უარყოფითად და ვაჭერთ ღილაკს დაადასტურეთ. გასაღები გამოჩნდება pop-up ფანჯარაში. შეინახეთ ეს გასაღები უსაფრთხო ადგილას, რადგან ამომხტარი ფანჯრის დახურვის შემდეგ ვეღარ შეძლებთ მთელი კლავიშის ნახვას.

ჩვენ გვაქვს GeoLite2 მონაცემთა ბაზების ხელით ჩამოტვირთვის შესაძლებლობა, მაგრამ მათი ფორმატი არ არის თავსებადი xt_geoip_build სკრიპტის მიერ მოსალოდნელ ფორმატთან. სწორედ აქ მოდის GeoLite2xtables სკრიპტები სამაშველოში. სკრიპტების გასაშვებად დააინსტალირეთ NetAddr::IP perl მოდული:

wget https://cpan.metacpan.org/authors/id/M/MI/MIKER/NetAddr-IP-4.079.tar.gz

tar xvf NetAddr-IP-4.079.tar.gz

cd NetAddr-IP-4.079

perl Makefile.PL

make

make install

შემდეგი, ჩვენ კლონირებთ საცავს სკრიპტებით და ვწერთ ადრე მიღებულ სალიცენზიო გასაღებს ფაილში:

git clone https://github.com/mschmitt/GeoLite2xtables.git

cd GeoLite2xtables

echo YOUR_LICENSE_KEY=’123ertyui123' > geolite2.license

მოდით გავუშვათ სკრიპტები:

# Скачиваем данные GeoLite2
./00_download_geolite2
# Скачиваем информацию о странах (для соответствия коду)
./10_download_countryinfo
# Конвертируем GeoLite2 базу в формат GeoLite Legacy 
cat /tmp/GeoLite2-Country-Blocks-IPv{4,6}.csv |
./20_convert_geolite2 /tmp/CountryInfo.txt > /usr/share/xt_geoip/dbip-country-lite.csv

MaxMind აწესებს დღეში 2000 ჩამოტვირთვის ლიმიტს და, სერვერების დიდი რაოდენობით, სთავაზობს განახლების ქეშირებას პროქსი სერვერზე.

გთხოვთ გაითვალისწინოთ, რომ გამომავალი ფაილი უნდა გამოიძახოთ dbip-country-lite.csv... სამწუხაროდ, 20_convert_geolite2 არ აწარმოებს სრულყოფილ ფაილს. სკრიპტი xt_geoip_build მოელის სამ სვეტს:

• მისამართის დიაპაზონის დასაწყისი;
• მისამართების დიაპაზონის დასასრული;
• ქვეყნის კოდი iso-3166-alpha2-ში.

და გამომავალი ფაილი შეიცავს ექვს სვეტს:

• მისამართის დიაპაზონის დაწყება (სტრიქონის წარმოდგენა);
• მისამართების დიაპაზონის დასასრული (სტრიქონის წარმოდგენა);
• მისამართის დიაპაზონის დასაწყისი (რიცხობრივი წარმოდგენა);
• მისამართის დიაპაზონის დასასრული (რიცხობრივი წარმოდგენა);
• ქვეყნის კოდი;
• ქვეყნის სახელი.

ეს შეუსაბამობა კრიტიკულია და შეიძლება გამოსწორდეს ორიდან ერთი გზით:

1. რედაქტირება 20_convert_geolite2;
2. რედაქტირება xt_geoip_build.

პირველ შემთხვევაში ვამცირებთ printf საჭირო ფორმატზე, ხოლო მეორეში - ვცვლით დავალებას ცვლადზე $cc on $row->[4]. ამის შემდეგ შეგიძლიათ ააწყოთ:

/usr/lib/xtables-addons/xt_geoip_build -S /usr/share/xt_geoip/ -D /usr/share/xt_geoip

. . .
 2239 IPv4 ranges for ZA
  348 IPv6 ranges for ZA
   56 IPv4 ranges for ZM
   12 IPv6 ranges for ZM
   56 IPv4 ranges for ZW
   15 IPv6 ranges for ZW

გაითვალისწინეთ, რომ ავტორი GeoLite2xtables არ თვლის თავის სკრიპტებს წარმოებისთვის მზადყოფნაში და სთავაზობს თვალყური ადევნეთ ორიგინალური xt_geoip_* სკრიპტების განვითარებისთვის. ამიტომ, მოდით გადავიდეთ ასამბლეაზე საწყისი კოდებიდან, რომლებშიც ეს სკრიპტები უკვე განახლებულია.

წყარო ვერსია

წყაროს კოდის სკრიპტებიდან ინსტალაციისას xt_geoip_* განთავსებულია კატალოგში /usr/local/libexec/xtables-addons. სკრიპტის ეს ვერსია იყენებს მონაცემთა ბაზას IP ქვეყნის Lite-ში. ლიცენზია არის Creative Commons Attribution License და ხელმისაწვდომი მონაცემებიდან არის ძალიან საჭირო სამი სვეტი. ჩამოტვირთეთ და შეაგროვეთ მონაცემთა ბაზა:

cd /usr/share/xt_geoip/

/usr/local/libexec/xtables-addons/xt_geoip_dl

/usr/local/libexec/xtables-addons/xt_geoip_build

ამ ნაბიჯების შემდეგ, iptables მზად არის სამუშაოდ.

geoip-ის გამოყენება iptables-ში

მოდული xt_geoip ამატებს მხოლოდ ორ გასაღებს:

geoip match options:
[!] --src-cc, --source-country country[,country...]
	Match packet coming from (one of) the specified country(ies)
[!] --dst-cc, --destination-country country[,country...]
	Match packet going to (one of) the specified country(ies)

NOTE: The country is inputed by its ISO3166 code.

iptable-ებისთვის წესების შექმნის მეთოდები, ზოგადად, უცვლელი რჩება. დამატებითი მოდულების გასაღებების გამოსაყენებლად, თქვენ უნდა მიუთითოთ მოდულის სახელი -m გადამრთველით. მაგალითად, წესი, რომ დაბლოკოს შემომავალი TCP კავშირები 443 პორტზე და არა აშშ-დან ყველა ინტერფეისზე:

iptables -I INPUT ! -i lo -p tcp --dport 443 -m geoip ! --src-cc US -j DROP

xt_geoip_build-ის მიერ შექმნილი ფაილები გამოიყენება მხოლოდ წესების შექმნისას, მაგრამ არ არის გათვალისწინებული ფილტრაციისას. ამრიგად, geoip მონაცემთა ბაზის სწორად განახლებისთვის, ჯერ უნდა განაახლოთ iv* ფაილები, შემდეგ კი ხელახლა შექმნათ ყველა წესი, რომელიც იყენებს geoip-ს iptables-ში.

დასკვნა

ქვეყნებზე დაფუძნებული პაკეტების გაფილტვრა დროთა მიერ გარკვეულწილად დავიწყებული სტრატეგიაა. ამის მიუხედავად, მუშავდება პროგრამული ინსტრუმენტები ასეთი ფილტრაციისთვის და, ალბათ, მალე ახალი ვერსია xt_geoip ახალი geoip მონაცემთა პროვაიდერით გამოჩნდება პაკეტის მენეჯერებში, რაც მნიშვნელოვნად გაამარტივებს სისტემის ადმინისტრატორების ცხოვრებას.

გამოკითხვაში მონაწილეობა შეუძლიათ მხოლოდ დარეგისტრირებულ მომხმარებლებს. Შებრძანდითგთხოვთ

ოდესმე გამოგიყენებიათ ფილტრაცია ქვეყნების მიხედვით?

• 59,1%დიახ 13

• 40,9%No9

ხმა მისცა 22 მომხმარებელმა. 3 მომხმარებელმა თავი შეიკავა.

წყარო: www.habr.com