Блок Китай с iptables
Я просто вошел в систему на сервере GitLab и заметил, что он имел 18,974 неудавшихся логинов, так как я в последний раз проверил сервер - почти 5 дней. Я проверил IP, и кажется, что почти все они были из Китая и пытались получить доступ с SSH и Грубой силой. Я начал блокировать некоторый IP, но затем я понял, что это - огромная пустая трата времени, и лучшая идея состояла бы в том, чтобы заблокировать всю страну.
Есть ли какой-либо способ, которым я могу заблокировать ВЕСЬ Китай или какую-либо другую страну с iptables?
Я нашел некоторые статьи в Интернете, но почти все они - сценарии удара. Я - новичок на Linux, таким образом, я действительно не понимаю все те сценарии. Я нахожу iptables действительно интересный, и я хочу узнать больше о нем.
Какие-либо идеи?Спасибо!
5 ответов
Используя iptables, чтобы автоматически определить, и после этого заблокироваться, плохие парни для ssh могут быть сделаны с помощью recent модуль. Следующий сегмент должен прибыть после Ваш дженерик ESTABLISHED,RELATED строка:
...
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state ESTABLISHED,RELATED -j ACCEPT
...
# Secure Shell on port 22.
#
# Sometimes I uncomment the next line to simply disable external SSH access.
# Particulalry useful when I am rebooting often, thereby losing my current BADGUY table.
# $IPTABLES -A INPUT -i $EXTIF -m state --state NEW -p tcp -s $UNIVERSE -d $EXTIP --dport 22 -j DROP
# Dynamic Badguy List. Detect and DROP Bad IPs that do password attacks on SSH.
# Once they are on the BADGUY list then DROP all packets from them.
# Sometimes make the lock time very long. Typically to try to get rid of coordinated attacks from China.
$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j LOG --log-prefix "SSH BAD:" --log-level info
$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j DROP
$IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 -m recent --set --name BADGUY_SSH -j ACCEPT
Теперь, недавнее (в прошлом году или два) проблема с Китаем состоит в том, что они становились очень умными и очень часто, после того как они заблокированы от одного IP-адреса, который они просто переключают на другого на той же подсети и продолжают. Это рискует исчерпывать значение по умолчанию недавние записи в таблице (я думаю, что значение по умолчанию 200). Я контролирую это и затем ищу фактический сегмент IP и постоянно блокирую весь сегмент. В моем случае я не забочусь о сопутствующем ущербе, т.е. блокировании кого-то невинного:
#
# After a coordinated attack involving several sub-nets from China, they are now banned forever.
# List includes sub-nets from unknown origin, and perhaps Hong Kong
#
$IPTABLES -A INPUT -i $EXTIF -s 1.80.0.0/12 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 27.148.0.0/14 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 27.152.0.0/13 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 43.229.0.0/16 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 43.255.0.0/16 -d $UNIVERSE -j DROP
...
, Где в вышеупомянутом:
# The location of the iptables program
#
IPTABLES=/sbin/iptables
#Setting the EXTERNAL and INTERNAL interfaces and addresses for the network
#
EXTIF="enp4s0"
INTIF="enp2s0"
EXTIP="...deleted..."
INTNET="192.168.111.0/24"
INTIP="192.168.111.1/32"
UNIVERSE="0.0.0.0/0"
можно получить весь список IP-адресов для Китая или любой страны, в iptables или другом, формат здесь . Однако список является и удивительно длинным и довольно динамичным. Самостоятельно, я решил не заблокировать весь список.
китайский блок с помощью ipset
Вы не можете вручную добавить несколько тысяч IP-адресов к своему iptables, и даже выполнение его автоматически является плохой идеей, потому что это может вызвать много загрузки ЦП (или таким образом, я читал). Вместо этого мы можем использовать ipset, который разработан для этого вида вещи. ipset обрабатывает большие списки IP-адресов; Вы просто создаете список и затем говорите iptables использовать тот список в правиле.
Примечание; я предполагаю, что полнота следующего сделана как корень. Корректируйтесь соответственно, если Ваша система основана на sudo.
apt-get install ipset
Затем, я записал маленький сценарий Bash, чтобы сделать всю работу, которую необходимо смочь понять из комментариев в нем. Создайте файл:
nano /etc/block-china.sh
Вот то, что Вы хотите вставить в него:
# Create the ipset list
ipset -N china hash:net
# remove any old list that might exist from previous runs of this script
rm cn.zone
# Pull the latest IP set for China
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone
# Add each IP address from the downloaded list into the ipset 'china'
for i in $(cat /etc/cn.zone ); do ipset -A china $i; done
# Restore iptables
/sbin/iptables-restore < /etc/iptables.firewall.rules
Сохранили файл. Сделайте это исполняемым файлом:
chmod +x /etc/block-china.sh
Это ничего еще не сделало, но это будет через минуту, когда мы запустим скрипт. Во-первых, мы должны добавить правило в iptables, который обращается к этому новому списку ipset, который выше определяет сценарий:
nano /etc/iptables.firewall.rules
Добавляют следующую строку:
-A INPUT -p tcp -m set --match-set china src -j DROP
Сохранили файл. Чтобы быть ясным, мой полный iptables.firewall.rules теперь похож на это:
*filter
# Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
# Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Block anything from China
# These rules are pulled from ipset's china list
# The source file is at /etc/cn.zone (which in turn is generated by a shell script at /etc/block-china.sh )
-A INPUT -p tcp -m set --match-set china src -j DROP
# Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
# Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# Allow SSH connections
#
# The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Allow ping
-A INPUT -p icmp -j ACCEPT
# Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT
Прямо сейчас, ничто не изменилось с сервером, потому что никакие новые правила не были применены; чтобы сделать так, запустите скрипт блока-china.sh:
/etc/block-china.sh
Это должно показать некоторый вывод, поскольку он вытягивает новый список находящегося в китайце дюйм/с и затем приблизительно после нескольких секунд, он будет завершать и ронять Вас к командной строке.
, Чтобы протестировать, если это работало, выполненное:
iptables -L
необходимо теперь видеть, что новое правило блокировать Китай †“вывод должно быть похожим на это:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
REJECT all -- anywhere loopback/8 reject-with icmp-port-unreachable
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere match-set china src
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Почти сделанный! Это работает и продолжит работать над перезагрузками. Но, изменение IP-адресов и тот список будут становиться устаревшими со временем. Если Вы хотите вытянуть, и применять обновленный список дюйм/с можно просто запустить скрипт блока-china.sh снова.
Мы можем также установить машину, чтобы сделать это автоматически через задание крона:
crontab -e
Добавляют строку, такую как это:
* 5 * * * /etc/block-china.sh
Это будет работать/etc/block-china.sh в 5:00 каждый день. Пользователь, запускающий скрипт, должен будет быть корнем или иметь полномочия пользователя root.
Можно хотеть установить что-то как fail2ban так, чтобы он заблокировал дюйм/с, которые пытаются войти сервер и сбой.
Можно использовать geoip-модуль для iptables: https://linoxide.com/linux-how-to/block-ips-countries-geoip-addons /
Однажды наша система обновлен, и зависимости установлены, мы теперь установим xtables-дополнения в нашей машине. Для этого мы загрузим последний tarball с официальная xtables-дополнительная стройплощадка использование wget. После того как это загружается, мы извлечем tarball, затем скомпилировать и установить его в нашей машине.
wget http://downloads.sourceforge.net/project/xtables-addons/Xtables-addons/xtables-addons-2.13.tar.xz tar xf xtables-addons-2.13.tar.xz cd xtables-addons-2.13 ./configure make make install [...]Затем, мы выполним модуль, названный xt_geoip, который идет с xtables-дополнительным расширением, которое загружает базу данных GeoIP с MaxMind и преобразовывает его в двоичную форму, распознанную
xt_geoip. После того как это загружается, мы создадим его и переместим их в необходимоеxt_geoipпуть т.е./usr/share/xt_geoip.cd geoip ./xt_geoip_dl ./xt_geoip_build GeoIPCountryWhois.csv mkdir -p /usr/share/xt_geoip/ cp -r {BE,LE} /usr/share/xt_geoip/Вот базовый синтаксис для использования iptables с geoip модулем для блокирования трафика, происходящего из или предназначенный в страну. Здесь, мы должны использовать двухбуквенный код ISO3166 вместо страны, для, например, США для Соединенных Штатов, IE для Ирландии, Индиана для Индии, CN для Китая и так далее.
iptables -m geoip --src-cc country[,country...] --dst-cc country[,country...]
Вы используете для Списка Брандмауэра IP2Location для генерации iptables для Китая.
Файл находится в следующем формате. Выполните его в оболочке, и необходимо блокировать все китайские IP-адреса.
iptables -A INPUT -s 8.8.8.8/24 -j DROP