🥇xtables-addons: filtrējiet pakotnes pēc valsts

Uzdevums bloķēt satiksmi no noteiktām valstīm šķiet vienkāršs, taču pirmais iespaids var būt maldinošs. Šodien mēs jums pateiksim, kā to var īstenot.

Aizvēsture

Google meklēšanas rezultāti par šo tēmu sagādā vilšanos: lielākā daļa risinājumu jau sen ir “sapuvuši” un brīžiem šķiet, ka šī tēma ir nolikta plauktā un aizmirsta uz visiem laikiem. Mēs esam izgājuši cauri daudziem veciem ierakstiem un esam gatavi dalīties ar modernu instrukciju versiju.

Pirms šo komandu izpildes iesakām izlasīt visu rakstu.

Operētājsistēmas sagatavošana

Filtrēšana tiks konfigurēta, izmantojot utilītu iptables, kam nepieciešams paplašinājums, lai strādātu ar GeoIP datiem. Šo paplašinājumu var atrast xtables-addons. xtables-addons instalē iptables paplašinājumus kā neatkarīgus kodola moduļus, tāpēc nav nepieciešams atkārtoti kompilēt OS kodolu.

Rakstīšanas laikā pašreizējā xtables-addons versija ir 3.9. Tomēr tikai 20.04 var atrast standarta Ubuntu 3.8 LTS krātuvēs un 18.04 Ubuntu 3.0 krātuvēs. Paplašinājumu var instalēt no pakotņu pārvaldnieka, izmantojot šādu komandu:

apt install xtables-addons-common libtext-csv-xs-perl

Ņemiet vērā, ka starp versiju 3.9 un pašreizējo projekta stāvokli pastāv nelielas, bet būtiskas atšķirības, par kurām mēs runāsim vēlāk. Lai izveidotu no pirmkoda, instalējiet visas nepieciešamās pakotnes:

apt install git build-essential autoconf make libtool iptables-dev libxtables-dev pkg-config libnet-cidr-lite-perl libtext-csv-xs-perl

Klonēt repozitoriju:

git clone https://git.code.sf.net/p/xtables-addons/xtables-addons xtables-addons-xtables-addons

cd xtables-addons-xtables-addons

xtables-addons satur daudz paplašinājumu, taču mūs interesē tikai tie xt_geoip. Ja nevēlaties vilkt sistēmā nevajadzīgus paplašinājumus, varat tos izslēgt no būvējuma. Lai to izdarītu, fails ir jārediģē mconfig. Visiem vajadzīgajiem moduļiem instalējiet y, un atzīmējiet visus nevajadzīgos n. Mēs savācam:

./autogen.sh

./configure

make

Un instalējiet ar superlietotāja tiesībām:

make install

Kodola moduļu instalēšanas laikā var rasties šāda kļūda:

INSTALL /root/xtables-addons-xtables-addons/extensions/xt_geoip.ko
At main.c:160:
- SSL error:02001002:system library:fopen:No such file or directory: ../crypto/bio/bss_file.c:72
- SSL error:2006D080:BIO routines:BIO_new_file:no such file: ../crypto/bio/bss_file.c:79
sign-file: certs/signing_key.pem: No such file or directory

Šī situācija rodas tāpēc, ka nav iespējams parakstīt kodola moduļus, jo nav ko parakstīt. Šo problēmu var atrisināt ar pāris komandām:

cd /lib/modules/(uname -r)/build/certs

cat <<EOF > x509.genkey

[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = myexts

[ req_distinguished_name ]
CN = Modules

[ myexts ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid
EOF

openssl req -new -nodes -utf8 -sha512 -days 36500 -batch -x509 -config x509.genkey -outform DER -out signing_key.x509 -keyout signing_key.pem

Kompilētais kodola modulis ir instalēts, bet sistēma to neatklāj. Lūgsim sistēmai izveidot atkarības karti, ņemot vērā jauno moduli, un pēc tam to ielādēt:

depmod -a

modprobe xt_geoip

Pārliecināsimies, ka xt_geoip ir ielādēts sistēmā:

# lsmod | grep xt_geoip
xt_geoip               16384  0
x_tables               40960  2 xt_geoip,ip_tables

Turklāt pārliecinieties, vai paplašinājums ir ielādēts iptables:

# cat /proc/net/ip_tables_matches 
geoip
icmp

Esam apmierināti ar visu, un atliek tikai pievienot moduļa nosaukumu / etc / moduļilai modulis darbotos pēc OS pārstartēšanas. No šī brīža iptables saprot geoip komandas, taču tai nav pietiekami daudz datu, ar kuriem strādāt. Sāksim ielādēt geoip datubāzi.

GeoIP datu bāzes iegūšana

Mēs izveidojam direktoriju, kurā tiks saglabāta iptables paplašinājumam saprotamā informācija:

mkdir /usr/share/xt_geoip

Raksta sākumā mēs minējām, ka pastāv atšķirības starp versiju no avota koda un versiju no pakotņu pārvaldnieka. Visievērojamākā atšķirība ir datu bāzes piegādātāja un skripta izmaiņas xt_geoip_dl, kas lejupielādē jaunākos datus.

Pakešu pārvaldnieka versija

Skripts atrodas ceļā /usr/lib/xtables-addons, taču, mēģinot to palaist, jūs redzēsit ne pārāk informatīvu kļūdu:

# ./xt_geoip_dl 
unzip:  cannot find or open GeoLite2-Country-CSV.zip, GeoLite2-Country-CSV.zip.zip or GeoLite2-Country-CSV.zip.ZIP.

Iepriekš GeoLite produkts, tagad pazīstams kā GeoLite Legacy, izplatīts saskaņā ar licenci, tika izmantots kā datubāze Creative Commons ASA 4.0 uzņēmums MaxMind. Ar šo produktu uzreiz notika divi notikumi, kas “izjauca” saderību ar iptables paplašinājumu.

Pirmkārt, 2018. gada janvārī paziņoja par produkta atbalsta pārtraukšanu, un 2019. gada 2. janvārī no oficiālās vietnes tika noņemtas visas saites uz datu bāzes vecās versijas lejupielādi. Jaunajiem lietotājiem ieteicams izmantot GeoLite2 produktu vai tā maksas versiju GeoIPXNUMX.

Otrkārt, kopš 2019. gada decembra MaxMind teica par būtiskām izmaiņām piekļuvē viņu datubāzēm. Lai ievērotu Kalifornijas Patērētāju privātuma likumu, MaxMind nolēma GeoLite2 izplatīšanu "pārsegt" ar reģistrāciju.

Tā kā mēs vēlamies izmantot viņu produktu, mēs reģistrējamies šajā lapā.

Pēc tam jūs saņemsit e-pastu ar lūgumu iestatīt paroli. Tagad, kad esam izveidojuši kontu, mums ir jāizveido licences atslēga. Jūsu personīgajā kontā mēs atrodam preci Manas licences atslēgasun pēc tam noklikšķiniet uz pogas Ģenerējiet jaunu licences atslēgu.

Veidojot atslēgu, mums tiks uzdots tikai viens jautājums: vai mēs izmantosim šo atslēgu GeoIP Update programmā? Atbildam noraidoši un nospiežam pogu Apstiprināt. Atslēga tiks parādīta uznirstošajā logā. Saglabājiet šo atslēgu drošā vietā, jo, aizverot uznirstošo logu, vairs nevarēsit skatīt visu atslēgu.

Mums ir iespēja manuāli lejupielādēt GeoLite2 datu bāzes, taču to formāts nav saderīgs ar xt_geoip_build skripta paredzēto formātu. Šeit palīgā nāk GeoLite2xtables skripti. Lai palaistu skriptus, instalējiet NetAddr::IP perl moduli:

wget https://cpan.metacpan.org/authors/id/M/MI/MIKER/NetAddr-IP-4.079.tar.gz

tar xvf NetAddr-IP-4.079.tar.gz

cd NetAddr-IP-4.079

perl Makefile.PL

make

make install

Tālāk mēs klonējam repozitoriju ar skriptiem un failā ierakstām iepriekš iegūto licences atslēgu:

git clone https://github.com/mschmitt/GeoLite2xtables.git

cd GeoLite2xtables

echo YOUR_LICENSE_KEY=’123ertyui123' > geolite2.license

Palaidīsim skriptus:

# Скачиваем данные GeoLite2
./00_download_geolite2
# Скачиваем информацию о странах (для соответствия коду)
./10_download_countryinfo
# Конвертируем GeoLite2 базу в формат GeoLite Legacy 
cat /tmp/GeoLite2-Country-Blocks-IPv{4,6}.csv |
./20_convert_geolite2 /tmp/CountryInfo.txt > /usr/share/xt_geoip/dbip-country-lite.csv

MaxMind nosaka ierobežojumu 2000 lejupielāžu dienā un ar lielu serveru skaitu piedāvā kešatmiņā saglabāt atjauninājumu starpniekserverī.

Lūdzu, ņemiet vērā, ka izvades fails ir jāizsauc dbip-country-lite.csv... Diemžēl 20_convert_geolite2 nerada perfektu failu. Skripts xt_geoip_build sagaida trīs kolonnas:

adreses diapazona sākums;
adreses diapazona beigas;
valsts kods ISO-3166-alpha2.

Un izvades failā ir sešas kolonnas:

adreses diapazona sākums (virknes attēlojums);
adrešu diapazona beigas (virknes attēlojums);
adreses diapazona sākums (ciparu attēlojums);
adrešu diapazona beigas (ciparu attēlojums);
valsts kods;
valsts nosaukums.

Šī neatbilstība ir kritiska, un to var labot vienā no diviem veidiem:

rediģēt 20_convert_geolite2;
rediģēt xt_geoip_build.

Pirmajā gadījumā mēs samazinām printf vajadzīgajā formātā, bet otrajā - mainām piešķiršanu mainīgajam $cc par $rinda->[4]. Pēc tam jūs varat izveidot:

/usr/lib/xtables-addons/xt_geoip_build -S /usr/share/xt_geoip/ -D /usr/share/xt_geoip

. . .
 2239 IPv4 ranges for ZA
  348 IPv6 ranges for ZA
   56 IPv4 ranges for ZM
   12 IPv6 ranges for ZM
   56 IPv4 ranges for ZW
   15 IPv6 ranges for ZW

Ņemiet vērā, ka autors GeoLite2xtables neuzskata savus skriptus par gataviem ražošanai un piedāvājumiem trase oriģinālo xt_geoip_* skriptu izstrādei. Tāpēc pāriesim pie montāžas no pirmkodiem, kuros šie skripti jau ir atjaunināti.

Avota versija

Instalējot no pirmkoda skriptiem xt_geoip_* atrodas katalogā /usr/local/libexec/xtables-addons. Šī skripta versija izmanto datu bāzi IP uz Country Lite. Licence ir Creative Commons Attribution License, un no pieejamajiem datiem ir ļoti nepieciešamās trīs kolonnas. Lejupielādējiet un apkopojiet datu bāzi:

cd /usr/share/xt_geoip/

/usr/local/libexec/xtables-addons/xt_geoip_dl

/usr/local/libexec/xtables-addons/xt_geoip_build

Pēc šīm darbībām iptables ir gatavs darbam.

Geoip izmantošana programmā iptables

Modulis xt_geoip pievieno tikai divas atslēgas:

geoip match options:
[!] --src-cc, --source-country country[,country...]
	Match packet coming from (one of) the specified country(ies)
[!] --dst-cc, --destination-country country[,country...]
	Match packet going to (one of) the specified country(ies)

NOTE: The country is inputed by its ISO3166 code.

Iptables noteikumu izveides metodes kopumā paliek nemainīgas. Lai izmantotu atslēgas no papildu moduļiem, ar slēdzi -m ir skaidri jānorāda moduļa nosaukums. Piemēram, noteikums, lai visās saskarnēs bloķētu ienākošos TCP savienojumus 443. portā, nevis no ASV:

iptables -I INPUT ! -i lo -p tcp --dport 443 -m geoip ! --src-cc US -j DROP

Faili, kas izveidoti ar xt_geoip_build, tiek izmantoti tikai, veidojot noteikumus, bet netiek ņemti vērā filtrējot. Tādējādi, lai pareizi atjauninātu geoip datu bāzi, vispirms ir jāatjaunina iv* faili un pēc tam atkārtoti jāizveido visi kārtulas, kas izmanto geoip iptables.

Secinājums

Pakešu filtrēšana, pamatojoties uz valstīm, ir laika gaitā nedaudz aizmirsta stratēģija. Neskatoties uz to, programmatūras rīki šādai filtrēšanai tiek izstrādāti un, iespējams, drīzumā pakotņu pārvaldniekos parādīsies jauna xt_geoip versija ar jaunu geoip datu nodrošinātāju, kas ievērojami vienkāršos sistēmu administratoru dzīvi.

Aptaujā var piedalīties tikai reģistrēti lietotāji. Ielogoties, lūdzu.

Vai esat kādreiz izmantojis filtrēšanu pēc valsts?

59,1%Jā 13
40,9%Nr.9

Balsoja 22 lietotāji. 3 lietotāji atturējās.

Avots: www.habr.com

xtables-addons: filtrējiet pakotnes pēc valsts