Автор Тема: xtables-geoip  (Прочитано 2737 раз)

Оффлайн asket

  • Завсегдатай
  • *
  • Сообщений: 355
  • просто пользователь..
    • Email
xtables-geoip
« : 04.01.2014 16:23:56 »
Всем доброго дня! 
Решил вот заняться безопасностью своих серверов, и помимо всего прочего захотел разрешить доступ к серверам только с России  и Украины (от остальных закрыться файрволлом при помощи geoip). Установил xtables-addons и xtables-addons-geoip-utils, установил базу данных geoip.
Если спросить хелп по iptables, то моудль geoip там присутствует-
iptables -m geoip --help
....

geoip match options:
[!] --src-cc, --source-country country[,country...]
        Match packet coming from (one of) the specified country(ies)
[!] --dst-cc, --destination-country country[,country...]
        Match packet going to (one of) the specified country(ies)

NOTE: The country is inputed by its ISO3166 code.
Но, если попытаться применить правило-
[root@asket]# iptables -I INPUT  -m geoip --src-cc RU,UA -j ACCEPT
iptables: No chain/target/match by that name.
На просторах Интернета решения встречаются, но они для Дебиан и его производных, и в ALT ничем не помогли.
 Что собственно нужно , чтобы заставить эту фичу работать?


Оффлайн sb

  • Модератор глобальный
  • *****
  • Сообщений: 8 991
Re: xtables-geoip
« Ответ #1 : 04.01.2014 17:46:46 »
Возможно, не подгрузили модуль
Цитировать
> iptables: No chain/target/match by that name.
 Это значит, что расширение установлено, но ... оно ещё не загружено.
Отсюда взято https://debian.pro/510
Для загрузки воспользуйтесь modprobe имя_модуля, если он не будет автоматом стартовать при загрузке системы, то можно depmod -a сделать, чтобы модуль подгружался.

На просторах Интернета решения встречаются, но они для Дебиан и его производных, и в ALT ничем не помогли. Что собственно нужно , чтобы заставить эту фичу работать?
Понимание того, как вся кухня модулей работает :)

Оффлайн Cool_Lamer

  • Давно тут
  • **
  • Сообщений: 473
Re: xtables-geoip
« Ответ #2 : 11.07.2017 16:00:32 »
Для загрузки воспользуйтесь
Код: [Выделить]
modprobe имя_модуля
Воспользовался, картина таже
iptables: No chain/target/match by that name.# lsmod | grep x_tables
x_tables               23548  7 xt_comment,iptable_filter,ipt_MASQUERADE,xt_tcpudp,iptable_nat,iptable_mangle,ip_tables

# uname -a
Linux localdomain 3.0.101-std-def-alt0.M60P.1 #1 SMP Thu Oct 24 16:40:14 UTC 2013 x86_64 GNU/Linux
# apt-cache search xtables
iptables - Tools for managing Linux kernel packet filtering capabilities
iptables-devel - iptables development files
kernel-modules-xtables-addons-hpc-skif - xtables-addons kernel module for submount
kernel-modules-xtables-addons-ovz-smp - xtables-addons kernel module for submount
kernel-modules-xtables-addons-std-def - xtables-addons kernel module
xtables-addons - IP tables addons
xtables-addons-geoip-utils - Tools for build and update geoip data
xtables-addons-ipset - Tools for managing sets of IP or ports with iptables
kernel-source-xtables-addons - xtables module sources
i586-iptables - Tools for managing Linux kernel packet filtering capabilities
i586-xtables-addons - IP tables addons
Установил xtables-addons и xtables-addons-geoip-utils. Может нужно ещё модули ядра kernel-modules-xtables-addons-std-def ставить?

Оффлайн Cool_Lamer

  • Давно тут
  • **
  • Сообщений: 473
Re: xtables-geoip
« Ответ #3 : 11.07.2017 16:29:06 »
Сам отвечу. Да, нужно ещё и kernel-modules-xtables-addons-std-def доустановить. Странно почему сам не подтягивается.

Почему не работает правило вида
-A INPUT -m geoip --src-cc CN, TW, KR -j REJECTОтдельно каждую страну прописывать работает, если все через запятую то
geoip: invalid country code ''
« Последнее редактирование: 11.07.2017 17:29:00 от Cool_Lamer »

Оффлайн udz

  • Давно тут
  • **
  • Сообщений: 37
Re: xtables-geoip
« Ответ #4 : 11.07.2017 17:02:05 »
Сам отвечу. Да, нужно ещё и kernel-modules-xtables-addons-std-def доустановить. Странно почему сам не подтягивается.
Почему не работает правило вида
Аналогично сегодня тоже промучился