Блок Китая с iptables

7

Я только что вошел в систему на сервере GitLab и заметил, что у него было 18.974 сбойных логинов, так как я последний раз проверял сервер - почти 5 дней. Я проверил Ip, и кажется, что почти все они были из Китая и пытались получить доступ к SSH и Brute Force. Я начал блокировать некоторые Ip, но потом понял, что это огромная трата времени, и лучше было бы заблокировать всю страну.

Есть ли способ заблокировать ВСЕ Китай или любую другую страну с помощью iptables?

Я нашел несколько статей в Интернете, но почти все они - скрипты bash. Я новичок в Linux, поэтому я не понимаю все эти сценарии. Я нахожу iptables действительно интересным, и я хочу узнать больше об этом.

Любые идеи? Спасибо!

    
задан Caranfil Alegzandru 05.01.2017 в 13:40
источник

3 ответа

5

Использование iptables для автоматической идентификации, а затем блокировки, плохих парней для ssh может быть выполнено с помощью модуля recent . Следующий сегмент должен прийти после вашей общей строки ESTABLISHED,RELATED :

...
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state ESTABLISHED,RELATED -j ACCEPT
...
# Secure Shell on port 22.
#
# Sometimes I uncomment the next line to simply disable external SSH access.
# Particulalry useful when I am rebooting often, thereby losing my current BADGUY table.
# $IPTABLES -A INPUT -i $EXTIF -m state --state NEW -p tcp -s $UNIVERSE -d $EXTIP --dport 22 -j DROP

# Dynamic Badguy List. Detect and DROP Bad IPs that do password attacks on SSH.
# Once they are on the BADGUY list then DROP all packets from them.
# Sometimes make the lock time very long. Typically to try to get rid of coordinated attacks from China.
$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j LOG --log-prefix "SSH BAD:" --log-level info
$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j DROP
$IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 -m recent --set --name BADGUY_SSH -j ACCEPT

Теперь, недавняя (последний год или два) проблема с Китаем заключается в том, что они стали очень умными и очень часто после того, как они блокируются с одного IP-адреса, они просто переключаются на другую в той же подсети и продолжают. Это может привести к потере последних записей таблицы по умолчанию (я думаю, что по умолчанию 200). Я отслеживаю это, а затем просматриваю фактический сегмент IP и постоянно блокирую весь сегмент. В моем случае я не забочусь о сопутствующем ущербе, то есть блокирующем кого-то невиновного:

#
# After a coordinated attack involving several sub-nets from China, they are now banned forever.
# List includes sub-nets from unknown origin, and perhaps Hong Kong
#
$IPTABLES -A INPUT -i $EXTIF -s 1.80.0.0/12 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 27.148.0.0/14 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 27.152.0.0/13 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 43.229.0.0/16 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 43.255.0.0/16 -d $UNIVERSE -j DROP
...

Где указано:

# The location of the iptables program
#
IPTABLES=/sbin/iptables

#Setting the EXTERNAL and INTERNAL interfaces and addresses for the network
#
EXTIF="enp4s0"
INTIF="enp2s0"
EXTIP="...deleted..."
INTNET="192.168.111.0/24"
INTIP="192.168.111.1/32"
UNIVERSE="0.0.0.0/0"

Вы можете получить весь список IP-адресов для Китая или любой страны, в iptables или другом формате здесь . Однако список на удивление длинный и довольно динамичный. Я сам решил не блокировать весь список.

    
ответ дан Doug Smythies 05.01.2017 в 16:41
источник
3

Возможно, вы захотите установить что-то вроде fail2ban, чтобы блокировать ips, пытающиеся войти на ваш сервер и выйти из строя.

    
ответ дан Kyle H 05.01.2017 в 13:47
2

Китайский блок с использованием ipset

Вы не можете вручную добавить несколько тысяч IP-адресов в свои iptables, и даже делать это автоматически - это плохая идея, потому что это может вызвать большую загрузку процессора (или так я прочитал). Вместо этого мы можем использовать ipset, который предназначен для такого рода вещей. ipset обрабатывает большие списки адресов ip; вы просто создаете список, а затем скажите iptables использовать этот список в правиле.

Примечание; Я предполагаю, что все это выполняется как root. Настройте соответственно, если ваша система основана на sudo.

apt-get install ipset

Затем я написал небольшой скрипт Bash, чтобы выполнить всю работу, которую вы должны уметь понимать из комментариев в ней. Создайте файл:

nano /etc/block-china.sh

Вот что вы хотите вставить в него:

# Create the ipset list
ipset -N china hash:net

# remove any old list that might exist from previous runs of this script
rm cn.zone

# Pull the latest IP set for China
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone

# Add each IP address from the downloaded list into the ipset 'china'
for i in $(cat /etc/cn.zone ); do ipset -A china $i; done

# Restore iptables
/sbin/iptables-restore < /etc/iptables.firewall.rules

Сохраните файл. Сделайте его выполнимым:

chmod +x /etc/block-china.sh

Это еще ничего не сделано, но через минуту мы запустим скрипт. Во-первых, нам нужно добавить правило в iptables, которое ссылается на этот новый список ipset, описанный выше:

nano /etc/iptables.firewall.rules

Добавьте следующую строку:

-A INPUT -p tcp -m set --match-set china src -j DROP

Сохраните файл. Чтобы быть ясным, мои полные iptables.firewall.rules теперь выглядят следующим образом:

*filter

#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Block anything from China
# These rules are pulled from ipset's china list
# The source file is at /etc/cn.zone (which in turn is generated by a shell script at /etc/block-china.sh )
-A INPUT -p tcp -m set --match-set china src -j DROP

#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

#  Allow SSH connections
#
#  The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

В настоящий момент ничего не изменилось с сервером, потому что никаких новых правил не было применено; для этого запустите сценарий block-china.sh:

/etc/block-china.sh

Это должно показать некоторый результат, поскольку он вытаскивает свежий список китайских IP-адресов, а затем через несколько секунд он завершит и вернет вас в командную строку.

Чтобы проверить, работает ли он, запустите:

iptables -L

Теперь вы должны увидеть новое правило, блокирующее Китай - выход должен выглядеть следующим образом:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
REJECT     all  --  anywhere             loopback/8           reject-with icmp-port-unreachable
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       tcp  --  anywhere             anywhere             match-set china src
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere
LOG        all  --  anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Почти сделано! Это работает и будет продолжать работать над повторной загрузкой. Но IP-адреса меняются, и этот список со временем будет расти. Если вы хотите потянуть и применить обновленный список IP-адресов, вы можете снова запустить скрипт block-china.sh.

Мы также можем настроить машину на автоматическое выполнение задания cron:

crontab -e

Добавьте строку, такую ​​как:

* 5 * * * /etc/block-china.sh

Это будет работать /etc/block-china.sh в 5 утра каждый день. Пользователь, запускающий скрипт, должен быть root или иметь привилегии root.

источник

    
ответ дан Surjit Sidhu 02.07.2017 в 03:48