Linux中國

如何在 Linux 中根據國家位置來阻斷網路流量

所有的上述情形都需要設置防火牆,使之具有基於國家位置過濾流量的功能。有幾個方法可以做到這一點,其中之一是你可以使用 TCP wrappers 來為某個應用(例如 SSH,NFS, httpd)設置條件阻塞。但其缺點是你想要保護的那個應用必須以支持 TCP wrappers 的方式構建。另外,TCP wrappers 並不總是能夠在各個平台中獲取到(例如,Arch Linux 放棄了對它的支持)。另一種方式是結合基於國家的 GeoIP 信息,設置 ipset,並將它應用到 iptables 的規則中。後一種方式看起來更有希望一些,因為基於 iptables 的過濾器是與應用無關的,且容易設置。

在本教程中,我將展示 另一個基於 iptables 的 GeoIP 過濾器,它由 xtables-addons 來實現。對於那些不熟悉它的人來說, xtables-addons 是用於 netfilter/iptables 的一系列擴展。一個包含在 xtables-addons 中的名為 xt_geoip 的模塊擴展了 netfilter/iptables 的功能,使得它可以根據流量來自或流向的國家來進行過濾,IP 掩蔽(NAT)或丟包。若你想使用 xt_geoip,你不必重新編譯內核或 iptables,你只需要使用當前的內核構建環境(/lib/modules/uname -r/build)以模塊的形式構建 xtables-addons。同時也不需要進行重啟。只要你構建並安裝了 xtables-addons , xt_geoip 便能夠配合 iptables 使用。

至於 xt_geoip 和 ipset 之間的比較,xtables-addons 的官方網站 上是這麼說的: 相比於 ipset,xt_geoip 在內存佔用上更勝一籌,但對於匹配速度,基於哈希的 ipset 可能更有優勢。

在教程的餘下部分,我將展示如何使用 iptables/xt_geoip 來根據流量的來源地或流入的國家阻斷網路流量

在 Linux 中安裝 xtables-addons

下面介紹如何在各種 Linux 平台中編譯和安裝 xtables-addons。

為了編譯 xtables-addons,首先你需要安裝一些依賴軟體包。

在 Debian,Ubuntu 或 Linux Mint 中安裝依賴

$ sudo apt-get install iptables-dev xtables-addons-common libtext-csv-xs-perl pkg-config

在 CentOS,RHEL 或 Fedora 中安裝依賴

CentOS/RHEL 6 需要事先設置好 EPEL 倉庫(為 perl-Text-CSV_XS 所需要)。

$ sudo yum install gcc-c++ make automake kernel-devel-`uname -r` wget unzip iptables-devel perl-Text-CSV_XS

編譯並安裝 xtables-addons

xtables-addons官方網站 下載源碼包,然後按照下面的指令編譯安裝它。

$ wget http://downloads.sourceforge.net/project/xtables-addons/Xtables-addons/xtables-addons-2.10.tar.xz
$ tar xf xtables-addons-2.10.tar.xz
$ cd xtables-addons-2.10
$ ./configure
$ make
$ sudo make install

需要注意的是,對於基於紅帽的系統(CentOS、RHEL、Fedora),它們默認開啟了 SELinux,所以有必要像下面這樣調整 SELinux 的策略。否則,SELinux 將阻止 iptables 載入 xt_geoip 模塊。

$ sudo chcon -vR --user=system_u /lib/modules/$(uname -r)/extra/*.ko
$ sudo chcon -vR --type=lib_t /lib64/xtables/*.so

為 xtables-addons 安裝 GeoIP 資料庫

下一步是安裝 GeoIP 資料庫,它將被 xt_geoip 用來查詢 IP 地址與國家地區之間的對應關係。方便的是,xtables-addons 的源碼包中帶有兩個幫助腳本,它們被用來從 MaxMind 下載 GeoIP 資料庫並將它轉化為 xt_geoip 可識別的二進位形式文件;它們可以在源碼包中的 geoip 目錄下找到。請遵循下面的指導來在你的系統中構建和安裝 GeoIP 資料庫。

$ cd geoip
$ ./xt_geoip_dl
$ ./xt_geoip_build GeoIPCountryWhois.csv
$ sudo mkdir -p /usr/share/xt_geoip
$ sudo cp -r {BE,LE} /usr/share/xt_geoip

根據 MaxMind 的說明,他們的 GeoIP 資料庫能夠以 99.8% 的準確率識別出 ip 所對應的國家,並且每月這個資料庫將進行更新。為了使得本地安裝的 GeoIP 數據是最新的,或許你需要設置一個按月執行的 cron job 來時常更新你本地的 GeoIP 資料庫。

阻斷來自或流向某個國家的網路流量

一旦 xt_geoip 模塊和 GeoIP 資料庫安裝好後,你就可以在 iptabels 命令中使用 geoip 的匹配選項。

$ sudo iptables -m geoip --src-cc country[,country...] --dst-cc country[,country...]

你想要阻斷流量的那些國家是使用2個字母的 ISO3166 代碼 來特別指定的(例如 US(美國)、CN(中國)、IN(印度)、FR(法國))。

例如,假如你想阻斷來自葉門(YE) 和 尚比亞(ZM)的流量,下面的 iptabels 命令便可以達到此目的。

$ sudo iptables -I INPUT -m geoip --src-cc YE,ZM -j DROP

假如你想阻斷流向中國(CN) 的流量,可以運行下面的命令:

$ sudo iptables -A OUTPUT -m geoip --dst-cc CN -j DROP

匹配條件也可以通過在 --src-cc--dst-cc 選項前加 ! 來達到相反的目的:

假如你想在你的伺服器上阻斷來自所有非美國的流量,可以運行:

$ sudo iptables -I INPUT -m geoip ! --src-cc US -j DROP

對於使用 Firewall-cmd 的用戶

某些發行版本例如 CentOS/RHEL7 或 Fedora 已經用 firewalld 替代了 iptables 來作為默認的防火牆服務。在這些系統中,你可以類似使用 xt_geoip 那樣,使用 firewall-cmd 來阻斷流量。利用 firewall-cmd 命令,上面的三個例子可被重新寫為:

$ sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m geoip --src-cc YE,ZM -j DROP
$ sudo firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -m geoip --dst-cc CN -j DROP
$ sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m geoip ! --src-cc US -j DROP

總結

在本教程中,我展示了使用 iptables/xt_geoip 來根據流量的來源地或流入的國家輕鬆地阻斷網路流量。假如你有這方面的需求,把它部署到你的防火牆系統中可以使之成為一個實用的辦法。作為最後的警告,我應該提醒你的是:在你的伺服器上通過基於 GeoIP 的流量過濾來禁止特定國家的流量並不總是萬無一失的。GeoIP 資料庫本身就不是很準確或齊全,且流量的來源或目的地可以輕易地通過使用 VPN、Tor 或其他任意易受攻擊的中繼主機來達到欺騙的目的。基於地理位置的過濾器甚至可能會阻止本不該阻止的合法網路流量。在你決定把它部署到你的生產環境之前請仔細考慮這個限制。

via: http://xmodulo.com/block-network-traffic-by-country-linux.html

作者:Dan Nanni 譯者:FSSlc 校對:wxy

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國