चीन ipset का उपयोग कर ब्लॉक करता है
आप मैन्युअल रूप से अपने iptables में कुछ हज़ार आईपी पते नहीं जोड़ सकते हैं, और यहां तक कि यह स्वचालित रूप से करना एक बुरा विचार है क्योंकि यह बहुत सारे सीपीयू लोड का कारण बन सकता है (या इसलिए मैंने पढ़ा है)। इसके बजाय हम ipset का उपयोग कर सकते हैं जो इस तरह की चीज़ के लिए डिज़ाइन किया गया है। ipset IP पतों की बड़ी सूचियों को संभालता है; आप बस एक सूची बनाते हैं और फिर iptables को उस सूची को एक नियम में उपयोग करने के लिए कहते हैं।
ध्यान दें; मुझे लगता है कि निम्नलिखित की संपूर्णता जड़ के रूप में की जाती है। तदनुसार समायोजित करें यदि आपका सिस्टम sudo पर आधारित है।
apt-get install ipset
आगे, मैंने सभी काम करने के लिए एक छोटी सी बैश स्क्रिप्ट लिखी, जिसे आपको उसमें टिप्पणियों से समझने में सक्षम होना चाहिए। एक फ़ाइल बनाएँ:
nano /etc/block-china.sh
यहाँ आप इसे में क्या पेस्ट करना चाहते हैं:
# Create the ipset list
ipset -N china hash:net
# remove any old list that might exist from previous runs of this script
rm cn.zone
# Pull the latest IP set for China
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone
# Add each IP address from the downloaded list into the ipset 'china'
for i in $(cat /etc/cn.zone ); do ipset -A china $i; done
# Restore iptables
/sbin/iptables-restore < /etc/iptables.firewall.rules
फ़ाइल सहेजें। इसे निष्पादित करें:
chmod +x /etc/block-china.sh
यह अभी तक कुछ भी नहीं किया है, लेकिन यह एक मिनट में होगा जब हम स्क्रिप्ट चलाते हैं। सबसे पहले, हमें iptables में एक नियम जोड़ने की आवश्यकता है जो इस नई ipset सूची को परिभाषित करता है ऊपर दी गई लिपि को:
nano /etc/iptables.firewall.rules
निम्नलिखित पंक्ति जोड़ें:
-A INPUT -p tcp -m set --match-set china src -j DROP
फ़ाइल सहेजें। स्पष्ट होने के लिए, मेरा पूरा iptables.firewall.rules अब इस तरह दिखता है:
*filter
# Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT
# Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Block anything from China
# These rules are pulled from ipset's china list
# The source file is at /etc/cn.zone (which in turn is generated by a shell script at /etc/block-china.sh )
-A INPUT -p tcp -m set --match-set china src -j DROP
# Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT
# Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT
# Allow SSH connections
#
# The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT
# Allow ping
-A INPUT -p icmp -j ACCEPT
# Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7
# Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP
COMMIT
अभी, सर्वर के साथ कुछ भी नहीं बदला है क्योंकि कोई नया नियम लागू नहीं किया गया है; ऐसा करने के लिए, block-china.sh स्क्रिप्ट चलाएँ:
/etc/block-china.sh
इसे कुछ आउटपुट दिखाना चाहिए क्योंकि यह चीनी आधारित आईपी की एक नई सूची खींचता है और फिर, कुछ सेकंड के बाद, यह पूरा हो जाएगा और आपको कमांड प्रॉम्प्ट पर वापस छोड़ देगा।
यह काम करने के लिए परीक्षण करने के लिए, चलाएं:
iptables -L
अब आपको चीन को रोकते हुए एक नया नियम देखना चाहिए - आउटपुट इस तरह दिखना चाहिए:
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
REJECT all -- anywhere loopback/8 reject-with icmp-port-unreachable
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
DROP tcp -- anywhere anywhere match-set china src
ACCEPT tcp -- anywhere anywhere tcp dpt:http
ACCEPT tcp -- anywhere anywhere tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT icmp -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
DROP all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere
लगभग हो गया! यह काम करता है, और फिर से बूट पर काम करना जारी रखेगा। लेकिन, आईपी पते बदलते हैं और समय के साथ यह सूची बासी होती जाएगी। यदि आप IP की एक अद्यतन सूची खींचना और लागू करना चाहते हैं तो आप फिर से block-china.sh स्क्रिप्ट को फिर से चला सकते हैं।
हम यह करने के लिए मशीन भी सेट कर सकते हैं कि स्वचालित रूप से क्रॉन जॉब के माध्यम से:
crontab -e
इस तरह एक लाइन जोड़ें:
* 5 * * * /etc/block-china.sh
यह प्रतिदिन सुबह 5 बजे /etc/block-china.sh चलेगा। स्क्रिप्ट चलाने वाले उपयोगकर्ता को रूट होने या रूट विशेषाधिकार प्राप्त करने की आवश्यकता होगी।
स्रोत