iptablesで中国をブロック

GitLabサーバーにログインしたところ、最後にサーバーをチェックしてから18.974回ログインに失敗したことに気付きました。ほぼ5日間です。私はIPをチェックしましたが、それらのほとんどすべてが中国からのものであるようで、SSHとブルートフォースでアクセスしようとしました。私はいくつかのIPをブロックし始めましたが、それは時間の浪費であり、国全体をブロックすることをお勧めします。

iptablesですべての中国または他の国をブロックできる方法はありますか？

インターネットでいくつかの記事を見つけましたが、それらのほとんどすべてがbashスクリプトです。私はLinuxの初心者なので、これらのスクリプトをすべて理解できません。iptablesは本当に興味深いと思うので、もっと詳しく知りたい。

何か案は ？ありがとうございました！

iptablesを使用して自動的に特定し、その後ブロックすることで、sshの悪者をrecentモジュールを使用して実行できます。次のセグメントは、一般的な行の後にある必要がありますESTABLISHED,RELATED。

...
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state ESTABLISHED,RELATED -j ACCEPT
...
# Secure Shell on port 22.
#
# Sometimes I uncomment the next line to simply disable external SSH access.
# Particulalry useful when I am rebooting often, thereby losing my current BADGUY table.
# $IPTABLES -A INPUT -i $EXTIF -m state --state NEW -p tcp -s $UNIVERSE -d $EXTIP --dport 22 -j DROP

# Dynamic Badguy List. Detect and DROP Bad IPs that do password attacks on SSH.
# Once they are on the BADGUY list then DROP all packets from them.
# Sometimes make the lock time very long. Typically to try to get rid of coordinated attacks from China.
$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j LOG --log-prefix "SSH BAD:" --log-level info
$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j DROP
$IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 -m recent --set --name BADGUY_SSH -j ACCEPT

さて、最近の中国（昨年または2年）の問題は、非常に賢くなっており、あるIPアドレスからブロックされると、同じサブネットの別のIPアドレスに切り替えて続行することが非常によくあることです。これにより、最近のデフォルトのテーブルエントリが不足するリスクがあります（デフォルトは200だと思います）。これを監視してから実際のIPセグメントを調べ、セグメント全体を永久にブロックします。私の場合、副次的な損傷、つまり無実の誰かをブロックすることについては気にしません：

#
# After a coordinated attack involving several sub-nets from China, they are now banned forever.
# List includes sub-nets from unknown origin, and perhaps Hong Kong
#
$IPTABLES -A INPUT -i $EXTIF -s 1.80.0.0/12 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 27.148.0.0/14 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 27.152.0.0/13 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 43.229.0.0/16 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 43.255.0.0/16 -d $UNIVERSE -j DROP
...

上記のどこに：

# The location of the iptables program
#
IPTABLES=/sbin/iptables

#Setting the EXTERNAL and INTERNAL interfaces and addresses for the network
#
EXTIF="enp4s0"
INTIF="enp2s0"
EXTIP="...deleted..."
INTNET="192.168.111.0/24"
INTIP="192.168.111.1/32"
UNIVERSE="0.0.0.0/0"

ここでは、中国またはすべての国のIPアドレスの完全なリストをiptablesなどの形式で取得できます。ただし、リストは驚くほど長く、かなり動的です。私自身、リスト全体をブロックしないことにしました。

ipsetを使用した中国ブロック

手動で数千のIPアドレスをiptablesに追加することはできません。自動的に追加することでも、CPU負荷が高くなる可能性があるため（これは私が読んだことです）、悪い考えです。代わりに、この種のもののために設計されたipsetを使用できます。ipsetは、IPアドレスの大きなリストを処理します。リストを作成し、iptablesにそのリストをルールで使用するように指示するだけです。

注意; 以下のすべてがrootとして実行されることを想定しています。システムがsudoに基づいている場合は、適宜調整してください。

apt-get install ipset

次に、すべての作業を実行する小さなBashスクリプトを作成しました。このスクリプトは、その中のコメントから理解できるはずです。ファイルを作成します。

nano /etc/block-china.sh

貼り付けたいものは次のとおりです。

# Create the ipset list
ipset -N china hash:net

# remove any old list that might exist from previous runs of this script
rm cn.zone

# Pull the latest IP set for China
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone

# Add each IP address from the downloaded list into the ipset 'china'
for i in $(cat /etc/cn.zone ); do ipset -A china $i; done

# Restore iptables
/sbin/iptables-restore < /etc/iptables.firewall.rules

ファイルを保存します。実行可能にします。

chmod +x /etc/block-china.sh

これはまだ何もしていませんが、スクリプトを実行するとすぐに完了します。最初に、上記のスクリプトが定義するこの新しいipsetリストを参照するルールをiptablesに追加する必要があります。

nano /etc/iptables.firewall.rules

次の行を追加します。

-A INPUT -p tcp -m set --match-set china src -j DROP

ファイルを保存します。明確にするために、完全なiptables.firewall.rulesは次のようになります。

*filter

#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Block anything from China
# These rules are pulled from ipset's china list
# The source file is at /etc/cn.zone (which in turn is generated by a shell script at /etc/block-china.sh )
-A INPUT -p tcp -m set --match-set china src -j DROP

#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

#  Allow SSH connections
#
#  The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

現在、新しいルールが適用されていないため、サーバーに変更はありません。そのためには、block-china.shスクリプトを実行します。

/etc/block-china.sh

中国語ベースのIPの新しいリストを取得し、数秒後、完了してコマンドプロンプトに戻るので、出力が表示されます。

機能するかどうかをテストするには、次のコマンドを実行します。

iptables -L

これで、中国をブロックする新しいルールが表示されます。出力は次のようになります。

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
REJECT     all  --  anywhere             loopback/8           reject-with icmp-port-unreachable
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       tcp  --  anywhere             anywhere             match-set china src
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere
LOG        all  --  anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

ほぼ完了しました！これは機能し、再起動時に引き続き機能します。ただし、IPアドレスは変更され、そのリストは時間とともに古くなります。更新されたIPのリストをプルして適用する場合は、block-china.shスクリプトを再度実行するだけです。

cronジョブを介して自動的にそれを行うようにマシンを設定することもできます：

crontab -e

次のような行を追加します。

* 5 * * * /etc/block-china.sh

これにより、毎日5時に/etc/block-china.shが実行されます。スクリプトを実行するユーザーは、rootであるか、root権限を持っている必要があります。

ソース

fail2banのようなものをインストールして、サーバーにログインしようとして失敗するipsをブロックすることができます。

iptablesにはgeoip-moduleを使用できます：https ://linoxide.com/linux-how-to/block-ips-countries-geoip-addons/

システムがアップグレードされ、依存関係がインストールされたら、xtables-addonsをマシンにインストールします。そのために、wgetを使用して、公式のxtables-addonsプロジェクトサイトから最新のtarballをダウンロードします。ダウンロードしたら、tarballを抽出し、コンパイルしてマシンにインストールします。

wget http://downloads.sourceforge.net/project/xtables-addons/Xtables-addons/xtables-addons-2.13.tar.xz
tar xf xtables-addons-2.13.tar.xz
cd xtables-addons-2.13
./configure
make
make install [...]

次に、xtables-addons拡張に付属するxt_geoipというモジュールを実行します。このモジュールは、MaxMindからGeoIPデータベースをダウンロードし、それをで認識されるバイナリ形式に変換しxt_geoipます。ダウンロードされたら、ビルドして必要なxt_geoipパスに移動します /usr/share/xt_geoip。

cd geoip
./xt_geoip_dl
./xt_geoip_build GeoIPCountryWhois.csv
mkdir -p /usr/share/xt_geoip/
cp -r {BE,LE} /usr/share/xt_geoip/

国からの、または国に向かうトラフィックをブロックするために、geipモジュールでiptablesを使用するための基本的な構文は次のとおりです。ここでは、国の代わりに2文字のISO3166コードを使用する必要があります。たとえば、米国の場合はUS、アイルランドの場合はIE、インドの場合はIN、中国の場合はCNなどです。

iptables -m geoip --src-cc country[,country...] --dst-cc country[,country...]

IP2Locationファイアウォールリストを使用して、中国向けのiptablesを生成します。

ファイルは次の形式です。シェルで実行すると、すべての中国のIPアドレスがブロックされます。

iptables -A INPUT -s 8.8.8.8/24 -j DROP