воскресенье, 18 марта 2012 г.

Скрипт для блокировки в iptables целых стран


Скрипт для организации блокировки диапазонов IP адресов в привязке к названию страны.
Например, можно использовать для блокирования всех непрофильных сайту стран в моменты DDoS атаки или запретить приход почты для стран с которыми явно не ведется переписка.

Список привязки IP к странам загружается с сайта http://www.ipdeny.com/ipblocks/data/countries

   #!/bin/bash
   ### Block all traffic from AFGHANISTAN (af) and CHINA (CN). Use ISO code ###
   ISO="af cn"

   ### Set PATH ###
   IPT=/sbin/iptables
   WGET=/usr/bin/wget
   EGREP=/bin/egrep

   ### No editing below ###
   SPAMLIST="countrydrop"
   ZONEROOT="/root/iptables"
   DLROOT="http://www.ipdeny.com/ipblocks/data/countries"

   cleanOldRules(){
   $IPT -F
   $IPT -X
   $IPT -t nat -F
   $IPT -t nat -X
   $IPT -t mangle -F
   $IPT -t mangle -X
   $IPT -P INPUT ACCEPT
   $IPT -P OUTPUT ACCEPT
   $IPT -P FORWARD ACCEPT
   }

   # create a dir
   [ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT

   # clean old rules
   cleanOldRules

   # create a new iptables list
   $IPT -N $SPAMLIST

   for c  in $ISO
   do
# local zone file
tDB=$ZONEROOT/$c.zone

# get fresh zone file
$WGET -O $tDB $DLROOT/$c.zone

# country specific log message
SPAMDROPMSG="$c Country Drop"

# get
BADIPS=$(egrep -v "^#|^$" $tDB)
for ipblock in $BADIPS
do
  $IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
  $IPT -A $SPAMLIST -s $ipblock -j DROP
done
   done

   # Drop everything
   $IPT -I INPUT -j $SPAMLIST
   $IPT -I OUTPUT -j $SPAMLIST
   $IPT -I FORWARD -j $SPAMLIST

   # call your other iptable script
   # /path/to/other/iptables.sh

   exit 0


Вместо последовательного добавления правил, для увеличения производительности,
рекомендуется использовать систему ipset (http://ipset.netfilter.org/) или
nfqueue (http://nfqueue.sf.net/)


Использовать можно примерно так:

    #!/bin/sh
    iptables -F INPUT

    ipset -N spam ipmap

    cat block_country_net_list.txt | while read net; do
       ipset -A spam --network $net
    done

    iptables -A INPUT -m set --set spam src -j REJECT


Другой эффективный вариант - использовать iptables модуль geoip (http://people.netfilter.org/peejix/geoip/),
который не входит в базовую поставку iptables и требует установки patch-o-matic и
загрузки дополнительной базы привязки к странам, например с http://www.maxmind.com/

Например, блокировка ICMP запросов из Франции, Италии и Испании будет выглядеть так:

   iptables -A OUTPUT -p icmp -m geoip --dst-cc FR,IT,ES -j REJECT
Автор: на 16:44
Ярлыки: , ,

Комментариев нет:

Отправить комментарий