Форум Сайтостроение Администрирование серверов

debian iptables geoip

12
Electronn
На сайте с 01.02.2010
Offline
91
Electronn
2512

есть у кого-нибудь стройные маны по подключению этого модуля ?

Насколько фильтрация по geoip будет лучше/хуже , чем допустим скриптами вида :

#!/bin/sh

for i in `cat ip.txt`

do

iptables -A INPUT -s $i -j DROP

done

PS Спасибо за внимание =)

M
На сайте с 01.12.2009
Offline
235
madoff
#1

Есть у меня опыт настройки могу платно сделать.

--

Будет что-то типа такова.

 0 0 REJECT     all  --  eth0   *       0.0.0.0/0            0.0.0.0/0           Source country: CN reject-with icmp-port-unreachable
Администратор Linux,Freebsd. построения крупных проектов.
Electronn
На сайте с 01.02.2010
Offline
91
Electronn
#2

нужен именно мануал, так как сам хочу научиться))

Pavel.Odintsov
На сайте с 13.05.2009
Offline
169
Pavel.Odintsov
#3
Electronn:
есть у кого-нибудь стройные маны по подключению этого модуля ?

Насколько фильтрация по geoip будет лучше/хуже , чем допустим скриптами вида :


#!/bin/sh

for i in `cat ip.txt`
do
iptables -A INPUT -s $i -j DROP
done


PS Спасибо за внимание =)

А почему не к nginx? Он вполне себе тоже позволяет дроп по определенной стране. Конечно, оверхед, будет выше, но тоже вполне вариант.

Решение по обнаружению DDoS атак для хостинг компаний, дата центров и операторов связи: FastNetMon (https://fastnetmon.com)
Electronn
На сайте с 01.02.2010
Offline
91
Electronn
#4
Pavel.Odintsov:
А почему не к nginx? Он вполне себе тоже позволяет дроп по определенной стране. Конечно, оверхед, будет выше, но тоже вполне вариант.

если например в его конфиге 150 сайтов, то ко всем нужно фильтр ставить или достаточно к одному ?

а если запросы идут не к вебсерверу или по IP ?

M
На сайте с 01.12.2009
Offline
235
madoff
#5
Electronn:
если например в его конфиге 150 сайтов, то ко всем нужно фильтр ставить или достаточно к одному ?
а если запросы идут не к вебсерверу или по IP ?

в основной лог nginx, пишится всё что идёт на 80 порт.

Electronn
На сайте с 01.02.2010
Offline
91
Electronn
#6

то есть фильтрация по гео идет в конфиге отдельным блоком ?

Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#7

Мануал по geoip iptables в debian:

http://www.tuxj0b.de/GeoIP_for_iptables_on_Debian_Lenny

Не стоит плодить сущности без необходимости
Electronn
На сайте с 01.02.2010
Offline
91
Electronn
#8
Andreyka:
Мануал по geoip iptables в debian:
http://www.tuxj0b.de/GeoIP_for_iptables_on_Debian_Lenny

не поверите..... пробовал....=)

Sov1et
На сайте с 02.08.2010
Offline
3
Sov1et
#9 

apt-get install libtext-csv-xs-perl linux-headers-`uname -r` iptables-dev

Далее качаем: 

sudo mkdir -p /var/geoip/LE /usr/src/GeoIP

    cd /usr/src/GeoIP

    sudo wget http://geolite.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip

    sudo wget http://jengelh.medozas.de/files/geoip/geoip_src.tar.bz2

    sudo wget http://people.netfilter.org/peejix/geoip/tools/csv2bin-20041103.tar.gz

    sudo wget http://downloads.sourceforge.net/project/xtables-addons/1.21/xtables-addons-1.21.tar.bz2

Разархивируем: 

 sudo tar xf geoip_src.tar.bz2 geoip_csv_iv0.pl

    sudo unzip GeoIPCountryCSV.zip

    sudo tar xf xtables-addons-1.21.tar.bz2

    sudo tar xf csv2bin-20041103.tar.gz

Стаивм: 

cd /usr/src/GeoIP/csv2bin

    sudo make



    cd xtables-addons-1.21

    sudo ./configure --with-xtlibdir=/lib/xtables

    sudo make

    sudo make install



    cd /var/geoip

    sudo /usr/src/GeoIP/csv2bin/csv2bin /usr/src/GeoIP/GeoIPCountryWhois.csv



    cd /var/geoip/LE

    sudo perl /usr/src/GeoIP/geoip_csv_iv0.pl /usr/src/GeoIP/GeoIPCountryWhois.csv

Правило для iptables задаются в следующем виде для блокировки всех китайцев: 

 iptables -A INPUT -m geoip --src-cc CN -j REJECT
Linux-админ
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#10
Electronn:
не поверите..... пробовал....=)

И как? Получилось, понравилось?

Нет?

Тогда самое время звать шеф-повара 🤣

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий