xtables-addons: देश अनुसार फिल्टर प्याकेज

केही देशहरूबाट ट्राफिक अवरुद्ध गर्ने कार्य सरल देखिन्छ, तर पहिलो प्रभावहरू धोका दिन सक्छ। आज हामी तपाईंलाई यो कसरी लागू गर्न सकिन्छ भनेर बताउनेछौं।

प्रागितिहास

यस विषयमा गुगल खोजको नतिजा निराशाजनक छ: धेरै जसो समाधानहरू लामो समयदेखि "सडेका" छन् र कहिलेकाहीँ यस्तो देखिन्छ कि यो विषय सदाको लागि बिर्सिएको छ। हामीले धेरै पुराना रेकर्डहरू मार्फत कम्बेड गरेका छौं र निर्देशनहरूको आधुनिक संस्करण साझा गर्न तयार छौं।

हामी सुझाव दिन्छौं कि तपाइँ यी आदेशहरू कार्यान्वयन गर्नु अघि सम्पूर्ण लेख पढ्नुहोस्।

अपरेटिङ सिस्टमको तयारी गर्दै

फिल्टरिङ उपयोगिता प्रयोग गरी कन्फिगर गरिनेछ iptables, जसलाई GeoIP डाटासँग काम गर्न एक्स्टेन्सन चाहिन्छ। यो विस्तार मा पाउन सकिन्छ xtables-addons। xtables-addons ले स्वतन्त्र कर्नेल मोड्युलहरूको रूपमा iptables को लागि विस्तारहरू स्थापना गर्दछ, त्यसैले त्यहाँ OS कर्नेल पुन: कम्पाइल गर्न आवश्यक छैन।

लेख्ने समयमा, xtables-addons को हालको संस्करण 3.9 हो। यद्यपि, केवल 20.04 मानक Ubuntu 3.8 LTS भण्डारहरूमा फेला पार्न सकिन्छ, र 18.04 Ubuntu 3.0 भण्डारहरूमा। तपाइँ निम्न आदेशको साथ प्याकेज प्रबन्धकबाट विस्तार स्थापना गर्न सक्नुहुन्छ:

apt install xtables-addons-common libtext-csv-xs-perl

नोट गर्नुहोस् कि संस्करण 3.9 र परियोजनाको हालको अवस्था बीच सानो तर महत्त्वपूर्ण भिन्नताहरू छन्, जसलाई हामी पछि छलफल गर्नेछौं। स्रोत कोडबाट निर्माण गर्न, सबै आवश्यक प्याकेजहरू स्थापना गर्नुहोस्:

apt install git build-essential autoconf make libtool iptables-dev libxtables-dev pkg-config libnet-cidr-lite-perl libtext-csv-xs-perl

भण्डार क्लोन गर्नुहोस्:

git clone https://git.code.sf.net/p/xtables-addons/xtables-addons xtables-addons-xtables-addons

cd xtables-addons-xtables-addons

xtables-addons मा धेरै विस्तारहरू छन्, तर हामी केवल रुचि राख्छौं xt_geoip। यदि तपाइँ प्रणालीमा अनावश्यक विस्तारहरू तान्न चाहनुहुन्न भने, तपाइँ तिनीहरूलाई निर्माणबाट बाहिर निकाल्न सक्नुहुन्छ। यो गर्नको लागि तपाईंले फाइल सम्पादन गर्न आवश्यक छ mconfig। सबै इच्छित मोड्युलहरूको लागि, स्थापना गर्नुहोस् y, र सबै अनावश्यकहरूलाई चिन्ह लगाउनुहोस् n। हामी सङ्कलन:

./autogen.sh

./configure

make

र सुपर प्रयोगकर्ता अधिकार संग स्थापना गर्नुहोस्:

make install

कर्नेल मोड्युल स्थापना गर्दा, निम्न जस्तै त्रुटि हुन सक्छ:

INSTALL /root/xtables-addons-xtables-addons/extensions/xt_geoip.ko
At main.c:160:
- SSL error:02001002:system library:fopen:No such file or directory: ../crypto/bio/bss_file.c:72
- SSL error:2006D080:BIO routines:BIO_new_file:no such file: ../crypto/bio/bss_file.c:79
sign-file: certs/signing_key.pem: No such file or directory

यो अवस्था कर्नेल मोड्युल साइन गर्न असम्भव को कारण उत्पन्न हुन्छ, किनभने हस्ताक्षर गर्न केहि छैन। तपाइँ केहि आदेशहरु संग यो समस्या समाधान गर्न सक्नुहुन्छ:

cd /lib/modules/(uname -r)/build/certs

cat <<EOF > x509.genkey

[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = myexts

[ req_distinguished_name ]
CN = Modules

[ myexts ]
basicConstraints=critical,CA:FALSE
keyUsage=digitalSignature
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid
EOF

openssl req -new -nodes -utf8 -sha512 -days 36500 -batch -x509 -config x509.genkey -outform DER -out signing_key.x509 -keyout signing_key.pem

कम्पाइल गरिएको कर्नेल मोड्युल स्थापना गरिएको छ, तर प्रणालीले यसलाई पत्ता लगाउँदैन। प्रणालीलाई नयाँ मोड्युललाई ध्यानमा राखेर निर्भरता नक्सा सिर्जना गर्न सोधौं, र त्यसपछि लोड गर्नुहोस्:

depmod -a

modprobe xt_geoip

यो सुनिश्चित गरौं कि xt_geoip प्रणालीमा लोड गरिएको छ:

# lsmod | grep xt_geoip
xt_geoip               16384  0
x_tables               40960  2 xt_geoip,ip_tables

थप रूपमा, सुनिश्चित गर्नुहोस् कि विस्तार iptables मा लोड गरिएको छ:

# cat /proc/net/ip_tables_matches 
geoip
icmp

हामी सबै कुरामा खुसी छौं र बाँकी सबै मोड्युल नाम थप्न हो / आदि / मोड्युलहरूताकि मोड्युलले ओएस रिबुट गरेपछि काम गर्छ। अब देखि, iptables ले geoip आदेशहरू बुझ्दछ, तर यसमा काम गर्न पर्याप्त डाटा छैन। geoip डाटाबेस लोड गर्न सुरु गरौं।

GeoIP डाटाबेस प्राप्त गर्दै

हामी एउटा डाइरेक्टरी सिर्जना गर्छौं जसमा iptables विस्तारलाई बुझ्न सकिने जानकारी भण्डारण गरिनेछ:

mkdir /usr/share/xt_geoip

लेखको सुरुमा, हामीले उल्लेख गरेका थियौं कि स्रोत कोडबाट संस्करण र प्याकेज प्रबन्धकबाट संस्करण बीच भिन्नताहरू छन्। सबैभन्दा महत्त्वपूर्ण भिन्नता डाटाबेस विक्रेता र लिपिमा परिवर्तन हो xt_geoip_dl, जसले नवीनतम डाटा डाउनलोड गर्दछ।

प्याकेज प्रबन्धक संस्करण

स्क्रिप्ट पथ /usr/lib/xtables-addons मा अवस्थित छ, तर जब तपाइँ यसलाई चलाउन प्रयास गर्नुहुन्छ, तपाइँ एक धेरै जानकारीपूर्ण त्रुटि देख्नुहुनेछ:

# ./xt_geoip_dl 
unzip:  cannot find or open GeoLite2-Country-CSV.zip, GeoLite2-Country-CSV.zip.zip or GeoLite2-Country-CSV.zip.ZIP.

पहिले, जियोलाइट उत्पादन, अब जियोलाइट लिगेसी भनेर चिनिन्छ, इजाजतपत्र अन्तर्गत वितरित, डाटाबेसको रूपमा प्रयोग गरिन्थ्यो। Creative Commons ASA 4.0 कम्पनी अधिकतम मन। दुई घटनाहरू यस उत्पादनसँग एकैचोटि भयो जुन iptables विस्तारसँग अनुकूलता "तोड्यो"।

पहिलो, जनवरी 2018 मा घोषणा गरियो उत्पादनको लागि समर्थनको अन्त्यको बारेमा, र जनवरी 2019, 2 मा, डाटाबेसको पुरानो संस्करण डाउनलोड गर्ने सबै लिङ्कहरू आधिकारिक वेबसाइटबाट हटाइयो। नयाँ प्रयोगकर्ताहरूलाई GeoLite2 उत्पादन वा यसको सशुल्क संस्करण GeoIPXNUMX प्रयोग गर्न सिफारिस गरिन्छ।

दोस्रो, डिसेम्बर 2019 MaxMind पछि भन्यो तिनीहरूको डाटाबेसमा पहुँचमा महत्त्वपूर्ण परिवर्तनको बारेमा। क्यालिफोर्निया उपभोक्ता गोपनीयता ऐनको पालना गर्न, MaxMind ले दर्ताको साथ GeoLite2 को वितरण "कभर" गर्ने निर्णय गर्यो।

हामी तिनीहरूको उत्पादन प्रयोग गर्न चाहन्छौं, हामी यस पृष्ठमा दर्ता गर्नेछौं।

त्यसपछि तपाईले पासवर्ड सेट गर्न सोध्ने इमेल प्राप्त गर्नुहुनेछ। अब हामीले खाता सिर्जना गरेका छौं, हामीले लाइसेन्स कुञ्जी सिर्जना गर्न आवश्यक छ। तपाईंको व्यक्तिगत खातामा हामी वस्तु फेला पार्छौं मेरो लाइसेन्स कुञ्जीहरू, र त्यसपछि बटनमा क्लिक गर्नुहोस् नयाँ लाइसेन्स कुञ्जी उत्पन्न गर्नुहोस्.

कुञ्जी सिर्जना गर्दा, हामीलाई एउटा मात्र प्रश्न सोधिनेछ: के हामी यो कुञ्जी GeoIP अपडेट कार्यक्रममा प्रयोग गर्नेछौं? हामी नकारात्मक जवाफ दिन्छौं र बटन थिच्नुहोस् पुष्टि। कुञ्जी पप-अप विन्डोमा प्रदर्शित हुनेछ। यो कुञ्जीलाई सुरक्षित स्थानमा बचत गर्नुहोस्, जब तपाइँ एक पटक पप-अप विन्डो बन्द गर्नुहुन्छ, तपाइँ अब सम्पूर्ण कुञ्जी हेर्न सक्षम हुनुहुने छैन।

हामीसँग GeoLite2 डाटाबेसहरू म्यानुअल रूपमा डाउनलोड गर्ने क्षमता छ, तर तिनीहरूको ढाँचा xt_geoip_build स्क्रिप्ट द्वारा अपेक्षित ढाँचासँग मिल्दो छैन। यो जहाँ GeoLite2xtables स्क्रिप्टहरू उद्धारमा आउँछन्। स्क्रिप्टहरू चलाउनको लागि, NetAddr::IP perl मोड्युल स्थापना गर्नुहोस्:

wget https://cpan.metacpan.org/authors/id/M/MI/MIKER/NetAddr-IP-4.079.tar.gz

tar xvf NetAddr-IP-4.079.tar.gz

cd NetAddr-IP-4.079

perl Makefile.PL

make

make install

अर्को, हामी स्क्रिप्टको साथ भण्डार क्लोन गर्छौं र फाइलमा पहिले प्राप्त इजाजतपत्र कुञ्जी लेख्छौं:

git clone https://github.com/mschmitt/GeoLite2xtables.git

cd GeoLite2xtables

echo YOUR_LICENSE_KEY=’123ertyui123' > geolite2.license

लिपिहरू चलाउनुहोस्:

# Скачиваем данные GeoLite2
./00_download_geolite2
# Скачиваем информацию о странах (для соответствия коду)
./10_download_countryinfo
# Конвертируем GeoLite2 базу в формат GeoLite Legacy 
cat /tmp/GeoLite2-Country-Blocks-IPv{4,6}.csv |
./20_convert_geolite2 /tmp/CountryInfo.txt > /usr/share/xt_geoip/dbip-country-lite.csv

MaxMind प्रति दिन 2000 डाउनलोडहरूको सीमा लागू गर्दछ र, सर्भरहरूको ठूलो संख्याको साथ, प्रोक्सी सर्भरमा अद्यावधिक क्यास गर्न प्रस्ताव गर्दछ।

कृपया नोट गर्नुहोस् कि आउटपुट फाइल कल गर्नुपर्छ dbip-country-lite.csv... दुर्भाग्यवस, 20_convert_geolite2 पूर्ण फाइल उत्पादन गर्दैन। लिपि xt_geoip_build तीन स्तम्भहरू अपेक्षा गर्दछ:

• ठेगाना दायराको सुरुवात;
• ठेगाना दायराको अन्त्य;
• देश कोड iso-3166-alpha2 मा।

र आउटपुट फाइलले छवटा स्तम्भहरू समावेश गर्दछ:

• ठेगाना दायराको सुरुवात (स्ट्रिङ प्रतिनिधित्व);
• ठेगाना दायराको अन्त्य (स्ट्रिङ प्रतिनिधित्व);
• ठेगाना दायराको सुरुवात (संख्यात्मक प्रतिनिधित्व);
• ठेगाना दायराको अन्त्य (संख्यात्मक प्रतिनिधित्व);
• देशको कोड;
• देशको नाम।

यो विसंगति महत्वपूर्ण छ र दुई मध्ये कुनै एक तरिकाले सच्याउन सकिन्छ:

1. सम्पादन गर्नुहोस् 20_convert_geolite2;
2. सम्पादन गर्नुहोस् xt_geoip_build.

पहिलो अवस्थामा हामी घटाउँछौं printf आवश्यक ढाँचामा, र दोस्रोमा - हामी चरमा असाइनमेन्ट परिवर्तन गर्छौं $cc मा $row-> [४]। यस पछि तपाईले निर्माण गर्न सक्नुहुन्छ:

/usr/lib/xtables-addons/xt_geoip_build -S /usr/share/xt_geoip/ -D /usr/share/xt_geoip

. . .
 2239 IPv4 ranges for ZA
  348 IPv6 ranges for ZA
   56 IPv4 ranges for ZM
   12 IPv6 ranges for ZM
   56 IPv4 ranges for ZW
   15 IPv6 ranges for ZW

नोट गर्नुहोस् कि लेखक GeoLite2xtables उत्पादन र प्रस्तावहरूको लागि यसको स्क्रिप्टहरू तयार मान्दैन ट्र्याक मूल xt_geoip_* लिपिहरूको विकासको लागि। त्यसकारण, स्रोत कोडहरूबाट विधानसभामा जाऔं, जसमा यी स्क्रिप्टहरू पहिले नै अद्यावधिक गरिएका छन्।

स्रोत संस्करण

स्रोत कोड स्क्रिप्टहरूबाट स्थापना गर्दा xt_geoip_* सूचीमा अवस्थित छन् /usr/local/libexec/xtables-addons। लिपिको यो संस्करणले डाटाबेस प्रयोग गर्दछ कन्ट्री लाइटमा आईपी। इजाजतपत्र क्रिएटिभ कमन्स एट्रिब्युसन लाइसेन्स हो, र उपलब्ध डाटाबाट त्यहाँ धेरै आवश्यक तीन स्तम्भहरू छन्। डाटाबेस डाउनलोड र जम्मा गर्नुहोस्:

cd /usr/share/xt_geoip/

/usr/local/libexec/xtables-addons/xt_geoip_dl

/usr/local/libexec/xtables-addons/xt_geoip_build

यी चरणहरू पछि, iptables काम गर्न तयार छ।

iptables मा geoip प्रयोग गर्दै

मोड्युल xt_geoip केवल दुई कुञ्जीहरू थप्छ:

geoip match options:
[!] --src-cc, --source-country country[,country...]
	Match packet coming from (one of) the specified country(ies)
[!] --dst-cc, --destination-country country[,country...]
	Match packet going to (one of) the specified country(ies)

NOTE: The country is inputed by its ISO3166 code.

iptables को लागि नियमहरू सिर्जना गर्ने विधिहरू, सामान्यतया, अपरिवर्तित रहन्छन्। थप मोड्युलहरूबाट कुञ्जीहरू प्रयोग गर्न, तपाईंले -m स्विचसँग मोड्युलको नाम स्पष्ट रूपमा निर्दिष्ट गर्नुपर्छ। उदाहरण को लागी, पोर्ट 443 मा आगमन TCP जडानहरु लाई ब्लक गर्न को लागी नियम USA बाट सबै इन्टरफेसमा छैन:

iptables -I INPUT ! -i lo -p tcp --dport 443 -m geoip ! --src-cc US -j DROP

xt_geoip_build द्वारा सिर्जना गरिएका फाइलहरू नियमहरू सिर्जना गर्दा मात्र प्रयोग गरिन्छ, तर फिल्टर गर्दा खातामा लिइँदैन। यसरी, geoip डाटाबेस सही रूपमा अद्यावधिक गर्न, तपाईंले पहिले iv* फाइलहरू अद्यावधिक गर्नुपर्छ, र त्यसपछि iptables मा geoip प्रयोग गर्ने सबै नियमहरू पुन: सिर्जना गर्नुपर्छ।

निष्कर्षमा

देशहरूमा आधारित प्याकेटहरू फिल्टर गर्नु भनेको समयले बिर्सिएको रणनीति हो। यसका बावजुद, यस्तो फिल्टरिङका लागि सफ्टवेयर उपकरणहरू विकास भइरहेका छन् र, सायद, चाँडै नै नयाँ geoip डाटा प्रदायकको साथ xt_geoip को नयाँ संस्करण प्याकेज प्रबन्धकहरूमा देखा पर्नेछ, जसले प्रणाली प्रशासकहरूको जीवनलाई धेरै सरल बनाउनेछ।

दर्ता भएका प्रयोगकर्ताहरूले मात्र सर्वेक्षणमा भाग लिन सक्छन्। साइन इन गर्नुहोस्कृपया

के तपाईंले कहिल्यै देशअनुसार फिल्टरिङ प्रयोग गर्नुभएको छ?

• 59,1%हो 13

• 40,9%नम्बर ८०

22 प्रयोगकर्ताहरूले मतदान गरे। २ प्रयोगकर्ताहरू रोकिए।

स्रोत: www.habr.com