IPtables के साथ चीन को ब्लॉक करें


10

मैंने अभी-अभी GitLab सर्वर पर लॉग इन किया और देखा कि जब मैंने पिछली बार सर्वर की जाँच की थी - लगभग 5 दिनों तक इसमें 18.974 विफल लॉगिन थे। मैंने इप्स की जाँच की और ऐसा लगता है कि उनमें से लगभग सभी चीन से थे और एसएसएच और ब्रूट फोर्स के साथ पहुँच प्राप्त करने की कोशिश की। मैंने कुछ इप्स को ब्लॉक करना शुरू किया, लेकिन फिर मुझे महसूस हुआ कि यह समय की एक बड़ी बर्बादी है और एक बेहतर विचार पूरे देश को ब्लॉक करना होगा।

वहाँ किसी भी तरह से मैं सभी चीन या किसी अन्य देश को iptables के साथ ब्लॉक कर सकता हूं?

मुझे इंटरनेट पर कुछ लेख मिले, लेकिन उनमें से लगभग सभी बैश स्क्रिप्ट हैं। मैं लिनक्स पर नौसिखिया हूँ इसलिए मैं वास्तव में उन सभी लिपियों को नहीं समझता। मुझे लगता है कि iptables वास्तव में दिलचस्प है और मैं इसके बारे में अधिक जानना चाहता हूं।

कोई विचार ? धन्यवाद!


4
मैंने उसी समस्या को अलग तरीके से हल किया। मैंने पासवर्ड और चुनौती आधारित प्रमाणीकरण को बंद करके अपने ग्राहक के GitLab सर्वर पर SSH को कठोर कर दिया और केवल SSL कुंजी के साथ लॉगिन की अनुमति दी। शायद यह आपकी स्थिति में काम करेगा? IP पर्वतमाला को अवरुद्ध करने से "शोर" कम हो सकता है, लेकिन यह आपको क्रूरता के विरुद्ध वास्तविक सुरक्षा नहीं देगा।
ब्लेंन्ज़ो

अब तक यह काम नहीं किया। gitlab सर्वर अभी भी ऊपर है और मेरे पास 0 ब्रेक-इन है। Ssh acces केवल ssh-keys के साथ किए जाते हैं और मैंने रूट लॉगिन को अक्षम कर दिया है। यह सिर्फ इतना है कि मैं इतना बुरा iptables सीखना चाहता हूँ ..
Caranfil Alegzandru

1
आप अपने ssh को अपने राउटर में एक नॉन-डिफॉल्ट पोर्ट पर भी स्विच कर सकते हैं। इसने मेरे ssh बॉट हमले के प्रयासों को प्रति दिन सैकड़ों से शून्य तक गिरा दिया।
ऑर्गेनिक मार्बल

जवाबों:


7

Iptables का उपयोग स्वचालित रूप से पहचान करने के लिए, और उसके बाद ब्लॉक, ssh के लिए बुरे लोगों को recentमॉड्यूल का उपयोग करके किया जा सकता है । आपकी जेनेरिक लाइन के बाद निम्नलिखित सेगमेंट आना चाहिए ESTABLISHED,RELATED:

...
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state ESTABLISHED,RELATED -j ACCEPT
...
# Secure Shell on port 22.
#
# Sometimes I uncomment the next line to simply disable external SSH access.
# Particulalry useful when I am rebooting often, thereby losing my current BADGUY table.
# $IPTABLES -A INPUT -i $EXTIF -m state --state NEW -p tcp -s $UNIVERSE -d $EXTIP --dport 22 -j DROP

# Dynamic Badguy List. Detect and DROP Bad IPs that do password attacks on SSH.
# Once they are on the BADGUY list then DROP all packets from them.
# Sometimes make the lock time very long. Typically to try to get rid of coordinated attacks from China.
$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j LOG --log-prefix "SSH BAD:" --log-level info
$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j DROP
$IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 -m recent --set --name BADGUY_SSH -j ACCEPT

अब, चीन के साथ हाल ही में (पिछले साल या दो) समस्या यह है कि वे बहुत चालाक हो गए हैं और बहुत बार एक बार जब वे एक आईपी पते से अवरुद्ध हो जाते हैं तो वे उसी उप-नेट पर दूसरे पर स्विच करते हैं और जारी रखते हैं। यह डिफ़ॉल्ट हाल की तालिका प्रविष्टियों से बाहर चलने का जोखिम है (मुझे लगता है कि डिफ़ॉल्ट 200 है)। मैं इस पर नजर रखता हूं और फिर वास्तविक आईपी खंड को देखता हूं, और पूरे खंड को स्थायी रूप से अवरुद्ध करता हूं। मेरे मामले में, मुझे संपार्श्विक क्षति की परवाह नहीं है, अर्थात किसी निर्दोष को रोकना:

#
# After a coordinated attack involving several sub-nets from China, they are now banned forever.
# List includes sub-nets from unknown origin, and perhaps Hong Kong
#
$IPTABLES -A INPUT -i $EXTIF -s 1.80.0.0/12 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 27.148.0.0/14 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 27.152.0.0/13 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 43.229.0.0/16 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 43.255.0.0/16 -d $UNIVERSE -j DROP
...

उपरोक्त में कहां:

# The location of the iptables program
#
IPTABLES=/sbin/iptables

#Setting the EXTERNAL and INTERNAL interfaces and addresses for the network
#
EXTIF="enp4s0"
INTIF="enp2s0"
EXTIP="...deleted..."
INTNET="192.168.111.0/24"
INTIP="192.168.111.1/32"
UNIVERSE="0.0.0.0/0"

आप IP पते की पूरी सूची चीन, या किसी भी देश के लिए, iptables, या अन्य, यहाँ प्रारूप में प्राप्त कर सकते हैं । हालांकि सूची आश्चर्यजनक रूप से लंबी और बल्कि गतिशील दोनों है। स्वयं, मैंने पूरी सूची को अवरुद्ध न करने का निर्णय लिया।


यह ^! मेरे पास अब तक का सबसे अच्छा जवाब हो सकता है। यह एक गूंगा सवाल हो सकता है, लेकिन मुझे लगता है कि इन सभी नियमों को बैश स्क्रिप्ट में जाना है, है ना? मुझे अभी भी iptables को समझने में कुछ समस्याएं हैं लेकिन मुझे यह आकर्षक लगता है।
कारनफिल अलेजांद्रु

हां, मैं बैश स्क्रिप्ट का उपयोग करता हूं। कुछ, और मैंने भी इस्तेमाल किया, एक प्रत्यक्ष iptables पुनर्स्थापना विधि का उपयोग करें, जो लोड करने के लिए तेज़ है। मैं बदल गया क्योंकि मैं उसी स्क्रिप्ट में कुछ गैर-iptables कमांड शामिल करता हूं।
डग स्माइथिज

12

चीन ipset का उपयोग कर ब्लॉक करता है

आप मैन्युअल रूप से अपने iptables में कुछ हज़ार आईपी पते नहीं जोड़ सकते हैं, और यहां तक ​​कि यह स्वचालित रूप से करना एक बुरा विचार है क्योंकि यह बहुत सारे सीपीयू लोड का कारण बन सकता है (या इसलिए मैंने पढ़ा है)। इसके बजाय हम ipset का उपयोग कर सकते हैं जो इस तरह की चीज़ के लिए डिज़ाइन किया गया है। ipset IP पतों की बड़ी सूचियों को संभालता है; आप बस एक सूची बनाते हैं और फिर iptables को उस सूची को एक नियम में उपयोग करने के लिए कहते हैं।

ध्यान दें; मुझे लगता है कि निम्नलिखित की संपूर्णता जड़ के रूप में की जाती है। तदनुसार समायोजित करें यदि आपका सिस्टम sudo पर आधारित है।

apt-get install ipset

आगे, मैंने सभी काम करने के लिए एक छोटी सी बैश स्क्रिप्ट लिखी, जिसे आपको उसमें टिप्पणियों से समझने में सक्षम होना चाहिए। एक फ़ाइल बनाएँ:

nano /etc/block-china.sh

यहाँ आप इसे में क्या पेस्ट करना चाहते हैं:

# Create the ipset list
ipset -N china hash:net

# remove any old list that might exist from previous runs of this script
rm cn.zone

# Pull the latest IP set for China
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone

# Add each IP address from the downloaded list into the ipset 'china'
for i in $(cat /etc/cn.zone ); do ipset -A china $i; done

# Restore iptables
/sbin/iptables-restore < /etc/iptables.firewall.rules

फ़ाइल सहेजें। इसे निष्पादित करें:

chmod +x /etc/block-china.sh

यह अभी तक कुछ भी नहीं किया है, लेकिन यह एक मिनट में होगा जब हम स्क्रिप्ट चलाते हैं। सबसे पहले, हमें iptables में एक नियम जोड़ने की आवश्यकता है जो इस नई ipset सूची को परिभाषित करता है ऊपर दी गई लिपि को:

nano /etc/iptables.firewall.rules

निम्नलिखित पंक्ति जोड़ें:

-A INPUT -p tcp -m set --match-set china src -j DROP

फ़ाइल सहेजें। स्पष्ट होने के लिए, मेरा पूरा iptables.firewall.rules अब इस तरह दिखता है:

*filter

#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Block anything from China
# These rules are pulled from ipset's china list
# The source file is at /etc/cn.zone (which in turn is generated by a shell script at /etc/block-china.sh )
-A INPUT -p tcp -m set --match-set china src -j DROP

#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

#  Allow SSH connections
#
#  The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

अभी, सर्वर के साथ कुछ भी नहीं बदला है क्योंकि कोई नया नियम लागू नहीं किया गया है; ऐसा करने के लिए, block-china.sh स्क्रिप्ट चलाएँ:

/etc/block-china.sh

इसे कुछ आउटपुट दिखाना चाहिए क्योंकि यह चीनी आधारित आईपी की एक नई सूची खींचता है और फिर, कुछ सेकंड के बाद, यह पूरा हो जाएगा और आपको कमांड प्रॉम्प्ट पर वापस छोड़ देगा।

यह काम करने के लिए परीक्षण करने के लिए, चलाएं:

iptables -L

अब आपको चीन को रोकते हुए एक नया नियम देखना चाहिए - आउटपुट इस तरह दिखना चाहिए:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
REJECT     all  --  anywhere             loopback/8           reject-with icmp-port-unreachable
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       tcp  --  anywhere             anywhere             match-set china src
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere
LOG        all  --  anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

लगभग हो गया! यह काम करता है, और फिर से बूट पर काम करना जारी रखेगा। लेकिन, आईपी पते बदलते हैं और समय के साथ यह सूची बासी होती जाएगी। यदि आप IP की एक अद्यतन सूची खींचना और लागू करना चाहते हैं तो आप फिर से block-china.sh स्क्रिप्ट को फिर से चला सकते हैं।

हम यह करने के लिए मशीन भी सेट कर सकते हैं कि स्वचालित रूप से क्रॉन जॉब के माध्यम से:

crontab -e

इस तरह एक लाइन जोड़ें:

* 5 * * * /etc/block-china.sh

यह प्रतिदिन सुबह 5 बजे /etc/block-china.sh चलेगा। स्क्रिप्ट चलाने वाले उपयोगकर्ता को रूट होने या रूट विशेषाधिकार प्राप्त करने की आवश्यकता होगी।

स्रोत


इसे केवल tcp प्रोटोकॉल तक सीमित क्यों करें? यह प्रोटोकॉल को निर्दिष्ट किए बिना काम करने लगता है। नई एकत्रित सूचियों का उपयोग करने का सुझाव दें, क्योंकि वे बहुत छोटी हैं:wget http://www.ipdeny.com/ipblocks/data/aggregated/cn-aggregated.zone
डग स्माइलीज

यहाँ कुछ भी नहीं है जो पुनः बूट के बाद ipset को पुनर्स्थापित करता है।
डग स्माइथीज

4

आप कुछ विफलता की तरह स्थापित करना चाह सकते हैं, इसलिए यह ips को ब्लॉक करता है जो आपके सर्वर में लॉग इन करने का प्रयास करता है और विफल हो जाता है।


मैं भी csf फ़ायरवॉल का उपयोग कर सकता हूं और हर देश को कॉन्फ़िगर फ़ाइलों से चाहता हूं। बात यह है कि मैं वास्तव में iptables का उपयोग करना चाहता हूं ताकि मैं इसके बारे में अधिक जान सकूं।
कारनफिल एलेग्जेंड्रू

आपको यह देखना होगा कि किन देशों के पास कौन से आईपी एड्रेस ब्लॉक हैं, उन्हें यह पता लगाने के लिए कि किसको ब्लॉक करना है। यकीन नहीं होता कि यह सुपर सटीक होगा या नहीं। आप iptables -L का उपयोग वर्तमान iptables नियमों को दिखाने के लिए कर सकते हैं, iptables-save यह दिखाने के लिए कि उक्त नियम बनाने के लिए क्या कमांड चलाए गए थे, फिर इसके बारे में जानने के लिए परीक्षण मशीनों का उपयोग करके अपने स्वयं के नियमों को डिज़ाइन करें और परीक्षण करें। यही मैंने इसे सीखा है।
काइल एच।

0

आप iptables के लिए जियोइप-मॉड्यूल का उपयोग कर सकते हैं: https://linoxide.com/linux-how-to/block-ips-countries-geoip-addons/

एक बार जब हमारा सिस्टम अपग्रेड हो जाता है और निर्भरताएं स्थापित हो जाती हैं, तो हम अपनी मशीन में xtables-addons स्थापित करेंगे। ऐसा करने के लिए, हम wget का उपयोग करके आधिकारिक xtables-addons प्रोजेक्ट साइट से नवीनतम टारबॉल डाउनलोड करेंगे । एक बार डाउनलोड होने के बाद, हम टारबॉल को निकालेंगे, फिर इसे हमारे मशीन में संकलित और स्थापित करेंगे।

wget http://downloads.sourceforge.net/project/xtables-addons/Xtables-addons/xtables-addons-2.13.tar.xz
tar xf xtables-addons-2.13.tar.xz
cd xtables-addons-2.13
./configure
make
make install [...]

इसके बाद, हम xt_geoip नामक एक मॉड्यूल चलाएंगे जो xtables-addons एक्सटेंशन के साथ आता है जो MaxMind से GeoIP डेटाबेस को डाउनलोड करता है और इसे एक द्विआधारी रूप में मान्यता प्राप्त रूप में परिवर्तित करता है xt_geoip। डाउनलोड होने के बाद, हम इसे बनाएंगे और आवश्यक xt_geoipमार्ग पर ले जाएंगे /usr/share/xt_geoip

cd geoip
./xt_geoip_dl
./xt_geoip_build GeoIPCountryWhois.csv
mkdir -p /usr/share/xt_geoip/
cp -r {BE,LE} /usr/share/xt_geoip/

यहां देश से आने या जाने वाले ट्रैफ़िक को अवरुद्ध करने के लिए जियोआईपी मॉड्यूल के साथ iptables का उपयोग करने के लिए मूल सिंटैक्स है। यहां, हमें देश के स्थान पर दो-अक्षर वाले ISO3166 कोड का उपयोग करने की आवश्यकता है, उदाहरण के लिए, संयुक्त राज्य अमेरिका के लिए अमेरिका, आयरलैंड के लिए IE, भारत के लिए IN, चीन के लिए CN इत्यादि।

iptables -m geoip --src-cc country[,country...] --dst-cc country[,country...]

0

चीन के लिए iptables उत्पन्न करने के लिए आप IP2Location फ़ायरवॉल सूची का उपयोग करते हैं।

फ़ाइल निम्न प्रारूप में है। इसे शेल में चलाएं और आपको सभी चाइना आईपी एड्रेस को ब्लॉक करना चाहिए।

iptables -A INPUT -s 8.8.8.8/24 -j DROP
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.