web-dev-qa-db-ja.com

iptablesで中国をブロック

GitLabサーバーにログインしたところ、サーバーを最後にチェックしてからほぼ18日間、18.974回のログインに失敗したことに気付きました(ほぼ5日間)。 Ipをチェックしましたが、それらのほとんどすべてが中国からのもので、SSHとブルートフォースでアクセスしようとしました。私はいくつかのIPをブロックし始めましたが、それは時間の大きな無駄であり、より良いアイデアは国全体をブロックすることであることに気付きました。

Iptablesですべての中国またはその他の国をブロックする方法はありますか?

インターネットでいくつかの記事を見つけましたが、それらのほとんどはbashスクリプトです。私はLinuxの初心者なので、これらすべてのスクリプトを本当に理解しているわけではありません。 iptablesが本当に面白いと思うので、それについてもっと学びたいです。

何か案は ?ありがとうございました!

10

recentモジュールを使用すると、iptablesを使用してsshの悪者を自動的に識別し、その後ブロックできます。次のセグメントが来る必要があります  汎用ESTABLISHED,RELATED行:

...
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state ESTABLISHED,RELATED -j ACCEPT
...
# Secure Shell on port 22.
#
# Sometimes I uncomment the next line to simply disable external SSH access.
# Particulalry useful when I am rebooting often, thereby losing my current BADGUY table.
# $IPTABLES -A INPUT -i $EXTIF -m state --state NEW -p tcp -s $UNIVERSE -d $EXTIP --dport 22 -j DROP

# Dynamic Badguy List. Detect and DROP Bad IPs that do password attacks on SSH.
# Once they are on the BADGUY list then DROP all packets from them.
# Sometimes make the lock time very long. Typically to try to get rid of coordinated attacks from China.
$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j LOG --log-prefix "SSH BAD:" --log-level info
$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j DROP
$IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 -m recent --set --name BADGUY_SSH -j ACCEPT

現在、中国に関する最近(昨年または2年)の問題は、非常に巧妙になり、あるIPアドレスからブロックされると、同じサブネット上の別のIPアドレスに切り替えて続行することが非常に多いことです。これにより、デフォルトの最近のテーブルエントリがなくなるリスクがあります(デフォルトは200であると思います)。これを監視してから、実際のIPセグメントを検索し、セグメント全体を永続的にブロックします。私の場合、付随的な損害、つまり無実の人をブロックすることは気にしません:

#
# After a coordinated attack involving several sub-nets from China, they are now banned forever.
# List includes sub-nets from unknown Origin, and perhaps Hong Kong
#
$IPTABLES -A INPUT -i $EXTIF -s 1.80.0.0/12 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 27.148.0.0/14 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 27.152.0.0/13 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 43.229.0.0/16 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 43.255.0.0/16 -d $UNIVERSE -j DROP
...

上記の場所:

# The location of the iptables program
#
IPTABLES=/sbin/iptables

#Setting the EXTERNAL and INTERNAL interfaces and addresses for the network
#
EXTIF="enp4s0"
INTIF="enp2s0"
EXTIP="...deleted..."
INTNET="192.168.111.0/24"
INTIP="192.168.111.1/32"
UNIVERSE="0.0.0.0/0"

Iptablesまたはその他の形式で、中国または任意の国のIPアドレスのリスト全体を here で取得できます。ただし、リストは驚くほど長く、かなり動的です。私自身、リスト全体をブロックしないことにしました。

7
Doug Smythies

ipsetを使用したチャイナブロック

Iptablesに数千個のIPアドレスを手動で追加することはできません。また、それを自動的に実行することは、CPU負荷が大きくなる可能性がある(または読んだことがある)ため、お勧めできません。代わりに、この種の目的のために設計されたipsetを使用できます。 ipsetは、IPアドレスの大きなリストを処理します。リストを作成し、iptablesにルールでそのリストを使用するように指示するだけです。

注意;次のすべてがルートとして行われると仮定します。システムがSudoに基づいている場合は、それに応じて調整してください。

apt-get install ipset

次に、すべての作業を行うための小さなBashスクリプトを作成しました。このスクリプトは、コメントから理解できるはずです。ファイルを作成します。

nano /etc/block-china.sh

貼り付けたいものは次のとおりです。

# Create the ipset list
ipset -N china hash:net

# remove any old list that might exist from previous runs of this script
rm cn.zone

# Pull the latest IP set for China
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone

# Add each IP address from the downloaded list into the ipset 'china'
for i in $(cat /etc/cn.zone ); do ipset -A china $i; done

# Restore iptables
/sbin/iptables-restore < /etc/iptables.firewall.rules

ファイルを保存します。実行可能にする:

chmod +x /etc/block-china.sh

これはまだ何もしていませんが、スクリプトを実行するとすぐに実行されます。最初に、上記のスクリプトが定義するこの新しいipsetリストを参照するルールをiptablesに追加する必要があります。

nano /etc/iptables.firewall.rules

次の行を追加します。

-A INPUT -p tcp -m set --match-set china src -j DROP

ファイルを保存します。明確にするために、私の完全なiptables.firewall.rulesは次のようになりました。

*filter

#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Block anything from China
# These rules are pulled from ipset's china list
# The source file is at /etc/cn.zone (which in turn is generated by a Shell script at /etc/block-china.sh )
-A INPUT -p tcp -m set --match-set china src -j DROP

#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

#  Allow SSH connections
#
#  The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

現在、新しいルールが適用されていないため、サーバーで何も変更されていません。そのためには、block-china.shスクリプトを実行します。

/etc/block-china.sh

これにより、中国語ベースのIPの新しいリストが取得されるため、出力が表示されるはずです。その後、数秒後に完了し、コマンドプロンプトに戻ります。

動作したかどうかをテストするには、次を実行します:

iptables -L

これで、中国をブロックする新しいルールが表示されます。出力は次のようになります。

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
REJECT     all  --  anywhere             loopback/8           reject-with icmp-port-unreachable
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       tcp  --  anywhere             anywhere             match-set china src
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere
LOG        all  --  anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

ほぼ完了しました!これは機能し、再起動時に引き続き機能します。しかし、IPアドレスは変化し、そのリストは時間とともに古くなっていくでしょう。 IPの更新されたリストを取得して適用する場合は、block-china.shスクリプトを再度実行するだけです。

Cronジョブを介して自動的にそれを行うようにマシンを設定することもできます。

crontab -e

次のような行を追加します。

* 5 * * * /etc/block-china.sh

これにより、毎日午前5時に/etc/block-china.shが実行されます。スクリプトを実行するユーザーは、rootであるか、root権限が必要です。

ソース

10
Surjit Sidhu

Fail2banのようなものをインストールして、サーバーにログインしようとして失敗するIPをブロックすることができます。

4
Kyle H

Iptablesにはgeoip-moduleを使用できます。 https://linoxide.com/linux-how-to/block-ips-countries-geoip-addons/

システムがアップグレードされ、依存関係がインストールされたら、xtables-addonsをマシンにインストールします。そのためには、wgetを使用して 公式のxtables-addonsプロジェクトサイト から最新のtarballをダウンロードします。ダウンロードしたら、tarballを抽出し、コンパイルしてマシンにインストールします。

wget http://downloads.sourceforge.net/project/xtables-addons/Xtables-addons/xtables-addons-2.13.tar.xz
tar xf xtables-addons-2.13.tar.xz
cd xtables-addons-2.13
./configure
make
make install [...]

次に、xtables-addons拡張機能が付属するxt_geoipというモジュールを実行します。これは、MaxMindからGeoIPデータベースをダウンロードし、xt_geoipで認識されるバイナリ形式に変換します。ダウンロードしたら、ビルドして必要なxt_geoipパス、つまり/usr/share/xt_geoipに移動します。

cd geoip
./xt_geoip_dl
./xt_geoip_build GeoIPCountryWhois.csv
mkdir -p /usr/share/xt_geoip/
cp -r {BE,LE} /usr/share/xt_geoip/

国から発信または国宛のトラフィックをブロックするために、geoipモジュールでiptablesを使用するための基本的な構文は次のとおりです。ここでは、国の代わりに2文字のISO3166コードを使用する必要があります。たとえば、米国はUS、アイルランドはIE、インドはIN、中国はCNなどです。

iptables -m geoip --src-cc country[,country...] --dst-cc country[,country...]
0
Markus Lenger