Блок Китай с iptables
Мой опыт:
Это возможно условие гонки при холодном запуске и существует и в 13.04 и 13.10.
Это произошло для меня на двух возможно [ ! d2], с новыми установками бета-версии Ubuntu 14.04 LTS. Но как только тачпад начал работать, он не повторился. Я думал, что это исправление, но это могло быть что-то еще.
UPDATE: (03-May-2014)
Все еще происходит на Я думал, что это было исправлено, но это могло быть что-то еще. netbook (в 14.04 LTS beta ), с 32-битным Ubuntu 14.04 LTS (полностью обновлено).
Но само исправление через несколько минут ( 14.04 LTS ):
user01@HP-Mini-210-1036VU:~$ dmesg | grep -e mouse -e Mouse
[ 1.300793] mousedev: PS/2 mouse device common for all mice
[ 362.023854] psmouse serio1: synaptics: Touchpad model: 1, fw: 7.4, id: 0x1e0b1, caps: 0xd04773/0xe40000/0x5a0400, board id: 3655, fw id: 627142
При повторном запуске больше не происходит: (начинается всего за 13 секунд) [!d16 ]
user01@HP-Mini-210-1036VU:~$ dmesg | grep -e mouse -e Mouse
[ 1.300641] mousedev: PS/2 mouse device common for all mice
[ 13.205310] psmouse serio1: synaptics: Touchpad model: 1, fw: 7.4, id: 0x1e0b1, caps: 0xd04773/0xe40000/0x5a0400, board id: 3655, fw id: 627142
Для вашего ноутбука Samsung:
Попробуйте перезагрузить ноутбук после того, как он работает в течение 5 минут.
Подождите 3-4 минуты (после повторного запуска) и проверьте выход 13 секунд :
dmesg | grep -e mouse -e Mouse
ИЛИ
Попробуйте перезапустить драйвер (5+ минут после запуска ноутбука)
sudo modprobe -r psmouse
sudo modprobe psmouse
ИЛИ, возможно, (из: сенсорный планшет Samsung 305u для ноутбука, не работающий в Ubuntu 13.10)
sudo modprobe -r psmouse
sudo modprobe psmouse proto=imps
UPDATE : (позже, 03 мая-2104)
Это все еще может быть основной причиной: [d2 6] Сенсорная панель ноутбука Samsung 305u не работает в Ubuntu 13.10
Конфликт между i2c_hid ( все еще PS / 2 / последовательный драйвер) и разработки для поддержки мультитач-дисплеев .
i2c_hid
Вот старое исправление для той же проблемы, которую вы должны попробовать.
from: http: / /ubuntuforums.org/showthread.php?t=1423273&p=8927602#post8927602
(на самом деле из: http://ubuntuforums.org/showthread.php?t=1423273&p= 8927602 # post8927602 совет от старый )
sudo gedit /etc/default/grub
Изменить строку: GRUB_CMDLINE_LINUX_DEFAULT = "quiet splash", чтобы добавить: 'i8042.nomux'.
т.е.
GRUB_CMDLINE_LINUX_DEFAULT=“quiet splash i8042.nomux”
Затем обновить:
sudo update-grub
2 ответа
Возможно, вы захотите установить что-то вроде fail2ban, чтобы он блокировал ип, которые пытались войти на ваш сервер и терпеть неудачу.
-
1я также мог бы использовать брандмауэр csf и блокировать каждую страну, которую я хочу, из файлов конфигурации. Дело в том, что я действительно хочу использовать iptables, чтобы я мог больше узнать об этом. – Caranfil Alegzandru 5 January 2017 в 18:07
-
2Вам нужно будет посмотреть, какие страны имеют для них блоки ip-адресов, чтобы выяснить, кто блокировать. Не уверен, будет ли это супер точно или нет. Вы можете использовать iptables -L для отображения текущих правил iptables, iptables-save, чтобы показать, какие команды были выполнены для создания указанных правил, а затем разрабатывать собственные правила и тестировать с помощью тестовых машин, чтобы узнать об этом. Вот как я это узнал. – Kyle H 5 January 2017 в 18:39
Китайский блок с использованием ipset
Вы не можете вручную добавить несколько тысяч IP-адресов в свои iptables, и даже делать это автоматически - это плохая идея, потому что это может вызвать большую нагрузку на процессор (или так Я прочел). Вместо этого мы можем использовать ipset, который предназначен для такого рода вещей. ipset обрабатывает большие списки адресов ip; вы просто создаете список, а затем скажите iptables использовать этот список в правиле.
Примечание; Я предполагаю, что все это выполняется как root. Соответственно, если ваша система основана на sudo.
apt-get install ipset
Затем я написал небольшой скрипт Bash, чтобы выполнить всю работу, которую вы должны уметь понимать из комментариев в ней. Создайте файл:
nano /etc/block-china.sh
Вот что вы хотите вставить в него:
# Create the ipset list
ipset -N china hash:net
# remove any old list that might exist from previous runs of this script
rm cn.zone
# Pull the latest IP set for China
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone
# Add each IP address from the downloaded list into the ipset 'china'
for i in $(cat /etc/cn.zone ); do ipset -A china $i; done
# Restore iptables
/sbin/iptables-restore < /etc/iptables.firewall.rules
Сохраните файл. Сделайте это исполняемым:
chmod +x /etc/block-china.sh
Это еще ничего не сделало, но через минуту мы запустим скрипт. Во-первых, нам нужно добавить правило в iptables, которое ссылается на этот новый список ipset, описанный выше:
nano /etc/iptables.firewall.rules
Добавьте следующую строку:
-A INPUT -p tcp -m set --match-set china src -j DROP
Сохраните файл , Чтобы быть ясным, мои полные iptables.firewall.rules теперь выглядят следующим образом:
*filter
# Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
# Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Block anything from China
# These rules are pulled from ipset's china list
# The source file is at /etc/cn.zone (which in turn is generated by a shell script at /etc/block-china.sh )
-A INPUT -p tcp -m set --match-set china src -j DROP
# Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
# Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# Allow SSH connections
#
# The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Allow ping
-A INPUT -p icmp -j ACCEPT
# Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT
В настоящее время ничего не изменилось с сервером, потому что никаких новых правил не было применено; для этого запустите сценарий block-china.sh:
/etc/block-china.sh
Это должно показать некоторый результат, поскольку он вытаскивает свежий список китайских IP-адресов, а затем через несколько секунд он будет
Чтобы проверить, если это сработало, запустите:
iptables -L
Теперь вы должны увидеть новое правило, блокирующее Китай - выход должен выглядеть например:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
REJECT all -- anywhere loopback/8 reject-with icmp-port-unreachable
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere match-set china src
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
Почти сделано! Это работает и будет продолжать работать над повторной загрузкой. Но IP-адреса меняются, и этот список со временем будет расти. Если вы хотите вытащить и применить обновленный список IP-адресов, вы можете просто запустить скрипт block-china.sh еще раз.
Мы также можем настроить машину на автоматическое выполнение с помощью задания cron: [!d15 ]
crontab -e
Добавьте строку, такую как:
* 5 * * * /etc/block-china.sh
Это будет запускать /etc/block-china.sh в 5 утра каждый день. Пользователь, запускающий скрипт, должен быть root или иметь привилегии root.
source