CentOS 6.5 Server mit Iptables und GeoIP schützen

Dieser Beitrag wurde 2595 mal angezeigt.

Hy Leute,firewall

heute möchte ich euch einmal zeigen wie ihr euren Server gegen Angriffe aus bestimmten Ländern schützen könnt.

Wer einen Server besitzt und sich mal die Logfiles angeschaut hat, wird feststellen, dass der Server massiv durch Bots etc. angegriffen wird.
Das sogenannte “Hintergrundrauschen” des Internets. Aus einigen Ländern aber mehr als aus anderen.

Wer also in einem Bestimmten Land, für seine Websites etc. keine Zielgruppe sieht, sollte dieses Land einfach komplett vom Zugriff aussperren.

Wir benötigen dafür ipTables und einige Erweiterungen.

  •  iptables >= 1.4.3
  • kernel-source >= 2.6.29
  • Für ipset-6 brauchen wir:
    • libmnl
    • Linux kernel >= 2.6.35

Step 1

Als erstes benötigen wir unsere Kernel Version:

Nun können wir die benötigten Pakete nachladen:

Nun benötigen wir noch ein zusätzliches Modul:

Dieses Modul wird benötigt um die Länder später zu den IPs zuzuweisen.

Step 2

Nun können wir xtables und das GeoIP Modul laden:

Wir entpacken das ganze und wechseln in das Verzeichnis:

 Step 3

Für diese Kernel version müssen wir die Konfig anpassen. Da xtables sonst nicht kompiliert wird. Dazu öffnen wir die Datei “mconfig”

hier suchen wir die 3 Werte und entfernen diese aus der Datei. Dann können wir diese schließen.

Nun können wir das ganze kompilieren und installieren:

Wenn hier keine Fehler auftreten, können wir mit Step 4 weiter machen. Sollten hier Fehler auftreten, wird vielleicht eine andere Version von xtables benötigt. Schaut dazu einfach hier nach.

 Step 4

Nun können wir unsere GeoIP Datenbank aufbauen:

Diese packen wir nun an eine passende Stelle:

 Step 5

Wir haben das Modul nun passend installiert und können nun Anhand des ISO Codes eines Landes dieses vom Server verbannen.

Wenn ihr zb. China aussperren wollt, müsst ihr CN nutzen. Wenn ihr Russland ausperren wollt RU und wenn ihr die USA ausperren wollt, dann US.

z.b.

Ihr könnt euch nun die Regeln nochmal anzeigen lassen. Das ganze explizit speichern und den Dienst zur Sicherheit neu starten:

Viel Spass Leute!

Und vergesst nicht, das ganze auf eigene Verantwortung und blockt nicht eurer eigenes Land 😉
Sonst kommt ihr selber nicht mehr auf den Server 😉

 

 

Optional:

Wenn ihr noch einen Dienst machen möchtet, der euch die GeoIP Tabelle auf den aktuellsten Stand hält:

Erstellt euch eine neue Datei: “nano xtables-update.sh” und füllt diese mit:

sichert diese, und macht sie ausführbar. Lasst diese z.b. per crontab jede Woche einmal laufen 😉

Ersetzt “INSTALLDIR” durch euer Verzeichnis.

 

 

Beste Grüße


Tags: , , , , , , ,

Über Sven

- Du hast Fragen? - Do you have a question? - Dir hat mein Beitrag geholfen? - If my articles helped you : - Spend me a Beer ;)
Noch keine Kommentare.

Schreibe einen Kommentar

Blog Archiv