The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раздел полезных советов: Скрипт для блокировки в iptables це..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раздел полезных советов: Скрипт для блокировки в iptables це..."  +/
Сообщение от auto_tips on 08-Мрт-09, 13:42 
Скрипт для организации блокировки диапазонов IP адресов в привязке к названию страны.
Например, можно использовать для блокирования всех непрофильных сайту стран в моменты DDoS атаки
или запретить приход почты для стран с которыми явно не ведется переписка.

Список привязки IP к странам загружается с сайта http://www.ipdeny.com/ipblocks/data/countries


   #!/bin/bash
   ### Block all traffic from AFGHANISTAN (af) and CHINA (CN). Use ISO code ###
   ISO="af cn"

   ### Set PATH ###
   IPT=/sbin/iptables
   WGET=/usr/bin/wget
   EGREP=/bin/egrep

   ### No editing below ###
   SPAMLIST="countrydrop"
   ZONEROOT="/root/iptables"
   DLROOT="http://www.ipdeny.com/ipblocks/data/countries"

   cleanOldRules(){
   $IPT -F
   $IPT -X
   $IPT -t nat -F
   $IPT -t nat -X
   $IPT -t mangle -F
   $IPT -t mangle -X
   $IPT -P INPUT ACCEPT
   $IPT -P OUTPUT ACCEPT
   $IPT -P FORWARD ACCEPT
   }

   # create a dir
   [ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT

   # clean old rules
   cleanOldRules

   # create a new iptables list
   $IPT -N $SPAMLIST

   for c  in $ISO
   do
    # local zone file
    tDB=$ZONEROOT/$c.zone

    # get fresh zone file
    $WGET -O $tDB $DLROOT/$c.zone

    # country specific log message
    SPAMDROPMSG="$c Country Drop"

    # get
    BADIPS=$(egrep -v "^#|^$" $tDB)
    for ipblock in $BADIPS
    do
       $IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
       $IPT -A $SPAMLIST -s $ipblock -j DROP
    done
   done

   # Drop everything
   $IPT -I INPUT -j $SPAMLIST
   $IPT -I OUTPUT -j $SPAMLIST
   $IPT -I FORWARD -j $SPAMLIST

   # call your other iptable script
   # /path/to/other/iptables.sh

   exit 0


Вместо последовательного добавления правил, для увеличения производительности,
рекомендуется использовать систему ipset (http://ipset.netfilter.org/) или nfqueue (http://nfqueue.sf.net/)


Использовать можно примерно так:

    #!/bin/sh
    iptables -F INPUT

    ipset -N spam ipmap

    cat block_country_net_list.txt | while read net; do
       ipset -A spam --network $net
    done

    iptables -A INPUT -m set --set spam src -j REJECT


Другой эффективный вариант - использовать iptables модуль geoip (http://people.netfilter.org/peejix/geoip/),
который не входит в базовую поставку iptables и требует установки patch-o-matic и
загрузки дополнительной базы привязки к странам, например с http://www.maxmind.com/

Например, блокировка ICMP запросов из Франции, Италии и Испании будет выглядеть так:

   iptables -A OUTPUT -p icmp -m geoip --dst-cc FR,IT,ES -j REJECT

URL: http://www.cyberciti.biz/faq/block-entier-country-using-ipta.../
Обсуждается: http://www.opennet.me/tips/info/1969.shtml

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Скрипт для блокировки в iptables целых стран"  +/
Сообщение от pro100master email on 08-Мрт-09, 13:42 
спасибо, хорошая штука
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Скрипт для блокировки в iptables целых стран"  +/
Сообщение от VecH email(ok) on 08-Мрт-09, 22:03 
Где можно почитать:
Как сделать что бы при входе на сайт по IP показывало страну и город (аналог cmyip.com)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Скрипт для блокировки в iptables целых стран"  +/
Сообщение от rakshas (??) on 09-Мрт-09, 20:12 
Оно?
http://www.opennet.me/base/net/mod_geoip.txt.html

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Скрипт для блокировки в iptables целых стран"  +/
Сообщение от Naruto on 18-Июн-10, 20:47 
Здравствуйте!
Я не понял как его использовать в PHP странице (index.php)?
Нужно сохранить этот код в файле PHP и положить его рядом и прописать путь в Index.php???!
Не понятно!

Спасибо

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Скрипт для блокировки в iptables целых стран"  +/
Сообщение от Naruto on 18-Июн-10, 20:49 
ЕЩЁ!
А вы знаете что через переводчик типа google можно зайти на сайт?
Заблокировали Россию но зашли через переводчик.
Я думаю это реально!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Скрипт для блокировки в iptables целых стран"  +/
Сообщение от toNaruto on 10-Фев-11, 03:12 
Naruto, И что дальше то?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру