Как заблокировать страны при помощи Iptables

Автор: Admin

Дата:2014-09-09

Блокировка Iptables + Geoip

Встала задача блокировки не нужных стран на своем шлюзе на Linux. Если страны не нужны и ни каких действий от их ресурсов нам не нужны то и доступ от них нам не к чему.

Производить установку будем на CentOS 6 с обновлением ядра.

Ставим необходимые пакеты и обновляем ядро

# yum install gcc gcc-c++ make automake unzip zip xz kernel-devel-`uname -r` iptables-devel

Total download size: 23 M
Installed size: 57 M
Is this ok [y/N]: y


Дальше необходимо установить репозиторий rpmforge
#rpm -i http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.i686.rpm

После чего ставим пакет

#yum install perl-Text-CSV_XS

После чего скачиваем и устанавливаем xtables-addons
#wget http://sourceforge.net/projects/xtables-addons/files/Xtables-addons/2.5/xtables-addons-2.5.tar.xz

# tar xvf xtables-addons-2.5.tar.xz
# cd xtables-addons-2.5
#./configure
# make && make install

Создаем базу geoip для iptables
# cd geoip/
#./xt_geoip_dl
#./xt_geoip_build GeoIPCountryWhois.csv
#mkdir -p /usr/share/xt_geoip/

# cp -r {BE,LE} /usr/share/xt_geoip/ 

Блокируем  по стране

# iptables -I INPUT -m geoip --src-cc PL -j DROP

Проверяем

# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere             -m geoip --source-country PL

Или хотя бы стоит установить такую штуку, чтоб блокировать

A1 => "Anonymous Proxy"
или
A2 => "Satellite Provider"

Блокируем анонимные прокси
# iptables -I INPUT -m geoip --src-cc A1 -j DROP

Источники:
http://www.howtoforge.com/xtables-addons-on-centos-6-and-iptables-geoip-filtering
http://xtables-addons.sourceforge.net/
http://www.shorewall.net/ISO-3661.html

Количество просмотров: 6741

Комментарии к статье:

Автор комментария: Nikita
Дата: 2014-10-22

Очень полезная вещь . Но у меня она почему то на Centos 6 не хочет вставать.

Автор комментария: Nikita
Дата: 2014-10-22

Package kernel-devel-2.6.32-431.29.2.el6.x86_64 already installed and latest version Package iptables-devel-1.4.7-11.el6.x86_64 already installed and latest version Nothing to do [root ~]# [root ~]# Read more: http://plutonit.ru/view_post.php?id=638#ixzz3GrBgs7XK -bash: Read: команда не найдена Вот такой случай . Что это ?

Добавить комментарий

Введите сумму с картинки

© Plutonit.ru - Администрирование, настройка Linux и Windows 2009 - 2024