xtables-addons: देशानुसार पॅकेज फिल्टर करा

ठराविक देशांमधील रहदारी अवरोधित करण्याचे कार्य सोपे वाटते, परंतु प्रथम छाप फसवणूक करणारे असू शकतात. आज आम्ही तुम्हाला याची अंमलबजावणी कशी करता येईल हे सांगणार आहोत.

prehistory

या विषयावरील Google शोधाचे परिणाम निराशाजनक आहेत: बहुतेक निराकरणे बर्याच काळापासून "सडलेली" आहेत आणि कधीकधी असे दिसते की हा विषय कायमचा विसरला गेला आहे आणि विसरला गेला आहे. आम्ही बर्‍याच जुन्या रेकॉर्डमधून गेलो आहोत आणि सूचनांची आधुनिक आवृत्ती सामायिक करण्यास तयार आहोत.

आम्ही शिफारस करतो की तुम्ही या आदेशांची अंमलबजावणी करण्यापूर्वी संपूर्ण लेख वाचा.

ऑपरेटिंग सिस्टम तयार करत आहे

युटिलिटी वापरून फिल्टरिंग कॉन्फिगर केले जाईल iptables, ज्याला GeoIP डेटासह कार्य करण्यासाठी विस्तार आवश्यक आहे. हा विस्तार मध्ये आढळू शकतो xtables-addons. xtables-addons स्वतंत्र कर्नल मॉड्यूल्स म्हणून iptables साठी विस्तार स्थापित करते, त्यामुळे OS कर्नल पुन्हा संकलित करण्याची आवश्यकता नाही.

लेखनाच्या वेळी, xtables-addons ची वर्तमान आवृत्ती 3.9 आहे. तथापि, मानक उबंटू 20.04 एलटीएस रेपॉजिटरीजमध्ये फक्त 3.8 आणि उबंटू 18.04 रेपॉजिटरीजमध्ये 3.0 आढळू शकतात. तुम्ही खालील कमांडसह पॅकेज मॅनेजरमधून विस्तार स्थापित करू शकता:

apt install xtables-addons-common libtext-csv-xs-perl

लक्षात घ्या की आवृत्ती 3.9 आणि प्रकल्पाची सद्यस्थिती यामध्ये लहान पण महत्त्वाचे फरक आहेत, ज्यांची आपण नंतर चर्चा करू. स्त्रोत कोडमधून तयार करण्यासाठी, सर्व आवश्यक पॅकेजेस स्थापित करा:

apt install git build-essential autoconf make libtool iptables-dev libxtables-dev pkg-config libnet-cidr-lite-perl libtext-csv-xs-perl

रेपॉजिटरी क्लोन करा:

git clone https://git.code.sf.net/p/xtables-addons/xtables-addons xtables-addons-xtables-addons

cd xtables-addons-xtables-addons

xtables-addons मध्ये बरेच विस्तार आहेत, परंतु आम्हाला फक्त त्यात रस आहे xt_geoip. तुम्हाला सिस्टममध्ये अनावश्यक विस्तार ड्रॅग करायचे नसल्यास, तुम्ही त्यांना बिल्डमधून वगळू शकता. हे करण्यासाठी तुम्हाला फाइल संपादित करावी लागेल mconfig. सर्व इच्छित मॉड्यूल्ससाठी, स्थापित करा y, आणि सर्व अनावश्यक चिन्हांकित करा n. आम्ही गोळा करतो:

./autogen.sh

./configure

make

आणि सुपरयूजर अधिकारांसह स्थापित करा:

make install

कर्नल मॉड्यूल्सच्या स्थापनेदरम्यान, खालील सारखी त्रुटी येऊ शकते:

INSTALL /root/xtables-addons-xtables-addons/extensions/xt_geoip.ko
At main.c:160:
- SSL error:02001002:system library:fopen:No such file or directory: ../crypto/bio/bss_file.c:72
- SSL error:2006D080:BIO routines:BIO_new_file:no such file: ../crypto/bio/bss_file.c:79
sign-file: certs/signing_key.pem: No such file or directory

ही परिस्थिती कर्नल मॉड्यूल्सवर स्वाक्षरी करण्याच्या अशक्यतेमुळे उद्भवते, कारण सही करण्यासाठी काहीही नाही. आपण या समस्येचे निराकरण काही कमांडसह करू शकता:

cd /lib/modules/(uname -r)/build/certs

cat <<EOF > x509.genkey

[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = myexts

[ req_distinguished_name ]
CN = Modules

[ myexts ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid
EOF

openssl req -new -nodes -utf8 -sha512 -days 36500 -batch -x509 -config x509.genkey -outform DER -out signing_key.x509 -keyout signing_key.pem

संकलित कर्नल मॉड्यूल स्थापित केले आहे, परंतु प्रणाली ते शोधत नाही. चला सिस्टमला नवीन मॉड्यूल लक्षात घेऊन अवलंबित्व नकाशा तयार करण्यास सांगू आणि नंतर ते लोड करू:

depmod -a

modprobe xt_geoip

सिस्टममध्ये xt_geoip लोड केले आहे याची खात्री करूया:

# lsmod | grep xt_geoip
xt_geoip               16384  0
x_tables               40960  2 xt_geoip,ip_tables

याव्यतिरिक्त, विस्तार iptables मध्ये लोड केला आहे याची खात्री करा:

# cat /proc/net/ip_tables_matches 
geoip
icmp

आम्ही सर्व गोष्टींसह आनंदी आहोत आणि मॉड्यूलचे नाव जोडणे बाकी आहे / इ / मॉड्यूलजेणेकरून OS रीबूट केल्यानंतर मॉड्यूल कार्य करेल. आतापासून, iptables ला geoip कमांड समजतात, परंतु त्यात काम करण्यासाठी पुरेसा डेटा नाही. चला geoip डेटाबेस लोड करणे सुरू करूया.

जिओआयपी डेटाबेस मिळवणे

आम्ही एक निर्देशिका तयार करतो ज्यामध्ये iptables विस्तारासाठी समजण्यायोग्य माहिती संग्रहित केली जाईल:

mkdir /usr/share/xt_geoip

लेखाच्या सुरुवातीला, आम्ही नमूद केले आहे की स्त्रोत कोडमधील आवृत्ती आणि पॅकेज व्यवस्थापकाच्या आवृत्तीमध्ये फरक आहेत. डेटाबेस विक्रेता आणि स्क्रिप्टमधील बदल हा सर्वात लक्षणीय फरक आहे xt_geoip_dl, जे नवीनतम डेटा डाउनलोड करते.

पॅकेज व्यवस्थापक आवृत्ती

स्क्रिप्ट पथ /usr/lib/xtables-addons मध्ये स्थित आहे, परंतु जेव्हा तुम्ही ती चालवण्याचा प्रयत्न कराल, तेव्हा तुम्हाला एक फारशी माहितीपूर्ण त्रुटी दिसत नाही:

# ./xt_geoip_dl 
unzip:  cannot find or open GeoLite2-Country-CSV.zip, GeoLite2-Country-CSV.zip.zip or GeoLite2-Country-CSV.zip.ZIP.

पूर्वी, जिओलाइट उत्पादन, आता जिओलाइट लेगसी म्हणून ओळखले जाते, परवान्याअंतर्गत वितरित केले जाते, डेटाबेस म्हणून वापरले जात होते क्रिएटिव्ह कॉमन्स ASA 4.0 कंपनी मॅक्समाइंड. या उत्पादनासह एकाच वेळी दोन घटना घडल्या ज्याने iptables विस्तारासह सुसंगतता "भंग" केली.

सर्वप्रथम, जानेवारी 2018 मध्ये घोषित केले उत्पादनासाठी समर्थन संपुष्टात आणण्याबद्दल आणि 2019 जानेवारी 2 रोजी, डेटाबेसची जुनी आवृत्ती डाउनलोड करण्यासाठी सर्व लिंक अधिकृत वेबसाइटवरून काढून टाकण्यात आल्या. नवीन वापरकर्त्यांना GeoLite2 उत्पादन किंवा त्याची सशुल्क आवृत्ती GeoIPXNUMX वापरण्याची शिफारस केली जाते.

दुसरे म्हणजे, डिसेंबर 2019 पासून MaxMind नमूद केले त्यांच्या डेटाबेसमधील प्रवेशामध्ये लक्षणीय बदल झाल्याबद्दल. कॅलिफोर्निया ग्राहक गोपनीयता कायद्याचे पालन करण्यासाठी, MaxMind ने नोंदणीसह GeoLite2 चे वितरण "कव्हर" करण्याचा निर्णय घेतला.

आम्हाला त्यांचे उत्पादन वापरायचे असल्याने आम्ही या पृष्ठावर नोंदणी करू.

त्यानंतर तुम्हाला पासवर्ड सेट करण्यास सांगणारा ईमेल प्राप्त होईल. आता आम्ही खाते तयार केले आहे, आम्हाला परवाना की तयार करणे आवश्यक आहे. तुमच्या वैयक्तिक खात्यात आम्हाला आयटम सापडतो माझ्या परवाना की, आणि नंतर बटणावर क्लिक करा नवीन परवाना की व्युत्पन्न करा.

की तयार करताना, आम्हाला एकच प्रश्न विचारला जाईल: आम्ही ही की GeoIP अपडेट प्रोग्राममध्ये वापरू का? आम्ही नकारात्मक उत्तर देतो आणि बटण दाबतो पुष्टी. की पॉप-अप विंडोमध्ये प्रदर्शित केली जाईल. ही की सुरक्षित ठिकाणी जतन करा, तुम्ही एकदा पॉप-अप विंडो बंद केल्यावर, तुम्ही संपूर्ण की पाहू शकणार नाही.

आमच्याकडे GeoLite2 डेटाबेसेस व्यक्तिचलितपणे डाउनलोड करण्याची क्षमता आहे, परंतु त्यांचे स्वरूप xt_geoip_build स्क्रिप्टद्वारे अपेक्षित असलेल्या स्वरूपाशी सुसंगत नाही. येथेच GeoLite2xtables स्क्रिप्ट बचावासाठी येतात. स्क्रिप्ट चालवण्यासाठी, NetAddr::IP perl मॉड्यूल स्थापित करा:

wget https://cpan.metacpan.org/authors/id/M/MI/MIKER/NetAddr-IP-4.079.tar.gz

tar xvf NetAddr-IP-4.079.tar.gz

cd NetAddr-IP-4.079

perl Makefile.PL

make

make install

पुढे, आम्ही स्क्रिप्टसह रेपॉजिटरी क्लोन करतो आणि फाईलमध्ये पूर्वी प्राप्त केलेली परवाना की लिहितो:

git clone https://github.com/mschmitt/GeoLite2xtables.git

cd GeoLite2xtables

echo YOUR_LICENSE_KEY=’123ertyui123' > geolite2.license

चला स्क्रिप्ट चालवू:

# Скачиваем данные GeoLite2
./00_download_geolite2
# Скачиваем информацию о странах (для соответствия коду)
./10_download_countryinfo
# Конвертируем GeoLite2 базу в формат GeoLite Legacy 
cat /tmp/GeoLite2-Country-Blocks-IPv{4,6}.csv |
./20_convert_geolite2 /tmp/CountryInfo.txt > /usr/share/xt_geoip/dbip-country-lite.csv

मॅक्समाइंड दररोज 2000 डाउनलोड्सची मर्यादा घालते आणि मोठ्या संख्येने सर्व्हरसह, प्रॉक्सी सर्व्हरवर अपडेट कॅशे करण्याची ऑफर देते.

कृपया लक्षात ठेवा की आउटपुट फाइल कॉल करणे आवश्यक आहे dbip-country-lite.csv... दुर्दैवाने, 20_convert_geolite2 परिपूर्ण फाइल तयार करत नाही. स्क्रिप्ट xt_geoip_build तीन स्तंभांची अपेक्षा आहे:

• पत्त्याच्या श्रेणीची सुरुवात;
• पत्त्याच्या श्रेणीचा शेवट;
• देश कोड iso-3166-alpha2 मध्ये.

आणि आउटपुट फाइलमध्ये सहा स्तंभ आहेत:

• पत्त्याच्या श्रेणीची सुरुवात (स्ट्रिंग प्रतिनिधित्व);
• पत्ता श्रेणीचा शेवट (स्ट्रिंग प्रतिनिधित्व);
• पत्त्याच्या श्रेणीची सुरुवात (संख्यात्मक प्रतिनिधित्व);
• पत्त्याच्या श्रेणीचा शेवट (संख्यात्मक प्रतिनिधित्व);
• देशाचा कोड;
• देशाचे नाव.

ही विसंगती गंभीर आहे आणि दोनपैकी एका प्रकारे दुरुस्त केली जाऊ शकते:

1. सुधारणे 20_convert_geolite2;
2. सुधारणे xt_geoip_build.

पहिल्या प्रकरणात आम्ही कमी करतो printf आवश्यक स्वरूपात, आणि दुसऱ्यामध्ये - आम्ही व्हेरिएबलमध्ये असाइनमेंट बदलतो $cc वर $row->[4]. यानंतर आपण तयार करू शकता:

/usr/lib/xtables-addons/xt_geoip_build -S /usr/share/xt_geoip/ -D /usr/share/xt_geoip

. . .
 2239 IPv4 ranges for ZA
  348 IPv6 ranges for ZA
   56 IPv4 ranges for ZM
   12 IPv6 ranges for ZM
   56 IPv4 ranges for ZW
   15 IPv6 ranges for ZW

याची नोंद लेखकाने GeoLite2xtables त्याच्या स्क्रिप्ट्स उत्पादन आणि ऑफरसाठी तयार मानत नाहीत ट्रॅक मूळ xt_geoip_* स्क्रिप्टच्या विकासासाठी. म्हणून, सोर्स कोडमधून असेंब्लीकडे जाऊ या, ज्यामध्ये या स्क्रिप्ट्स आधीच अपडेट केल्या गेल्या आहेत.

स्रोत आवृत्ती

स्त्रोत कोड स्क्रिप्टमधून स्थापित करताना xt_geoip_* कॅटलॉग मध्ये स्थित आहेत /usr/local/libexec/xtables-addons. स्क्रिप्टची ही आवृत्ती डेटाबेस वापरते आयपी ते कंट्री लाइट. परवाना क्रिएटिव्ह कॉमन्स अॅट्रिब्युशन लायसन्स आहे, आणि उपलब्ध डेटावरून अतिशय आवश्यक तीन स्तंभ आहेत. डेटाबेस डाउनलोड करा आणि एकत्र करा:

cd /usr/share/xt_geoip/

/usr/local/libexec/xtables-addons/xt_geoip_dl

/usr/local/libexec/xtables-addons/xt_geoip_build

या चरणांनंतर, iptables कार्य करण्यास तयार आहे.

iptables मध्ये geoip वापरणे

मॉड्यूल xt_geoip फक्त दोन की जोडते:

geoip match options:
[!] --src-cc, --source-country country[,country...]
	Match packet coming from (one of) the specified country(ies)
[!] --dst-cc, --destination-country country[,country...]
	Match packet going to (one of) the specified country(ies)

NOTE: The country is inputed by its ISO3166 code.

iptables साठी नियम तयार करण्याच्या पद्धती, सर्वसाधारणपणे, अपरिवर्तित राहतात. अतिरिक्त मॉड्यूल्समधील की वापरण्यासाठी, तुम्ही -m स्विचसह मॉड्यूलचे नाव स्पष्टपणे निर्दिष्ट केले पाहिजे. उदाहरणार्थ, पोर्ट 443 वर येणारे TCP कनेक्शन अवरोधित करण्याचा नियम सर्व इंटरफेसवर यूएसए मधून नाही:

iptables -I INPUT ! -i lo -p tcp --dport 443 -m geoip ! --src-cc US -j DROP

xt_geoip_build द्वारे तयार केलेल्या फायली केवळ नियम तयार करताना वापरल्या जातात, परंतु फिल्टर करताना विचारात घेतल्या जात नाहीत. अशा प्रकारे, geoip डेटाबेस योग्यरित्या अद्यतनित करण्यासाठी, तुम्ही प्रथम iv* फाइल्स अद्यतनित केल्या पाहिजेत आणि नंतर iptables मध्ये geoip वापरणारे सर्व नियम पुन्हा तयार केले पाहिजेत.

निष्कर्ष

देशांवर आधारित पॅकेट फिल्टर करणे ही काहीसे वेळोवेळी विसरलेली रणनीती आहे. असे असूनही, अशा फिल्टरिंगसाठी सॉफ्टवेअर साधने विकसित केली जात आहेत आणि कदाचित, लवकरच नवीन geoip डेटा प्रदात्यासह xt_geoip ची नवीन आवृत्ती पॅकेज व्यवस्थापकांमध्ये दिसून येईल, जे सिस्टम प्रशासकांचे जीवन मोठ्या प्रमाणात सुलभ करेल.

केवळ नोंदणीकृत वापरकर्तेच सर्वेक्षणात भाग घेऊ शकतात. साइन इन करा, आपले स्वागत आहे.

तुम्ही कधी देशानुसार फिल्टरिंग वापरले आहे का?

• 59,1%होय २०७

• 40,9%क्रमांक २४४

22 वापरकर्त्यांनी मतदान केले. 3 वापरकर्ते दूर राहिले.

स्त्रोत: www.habr.com