Проблема Iptables + Geoip

Автор wegas9393, 18 января 2015, 17:41:07

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

wegas9393

OC:Debian GNU/Linux 6.0.10 (squeeze)
Поставил geoip делал всё по инструкций http://skripter.info/linux/bezopasnost/4276-iptables-geoip-v-debian-6.html так же пробовал и по другим,результат тот же что написан ниже

Хочу забанить Китай
Пишу:iptables -I INPUT ! -i lo -m geoip --src-cc CN -j DROP
Выдаёт:iptables: No chain/target/match by that name.

Порыскал гугол понял что iptables не видит модуль geoip
Так вот,подскажите как их подружить,либо объясните что нужно сделать ещё

ihammers

Модуль собрали правильно? И он нормально подключился (lsmod)?

Скорей всего нет, смотрите следующие ссылки: 1, 2.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290

wegas9393

Вот что пишет Opening /proc/modules: No such file or directory

ihammers

Опишите последовательность ваших действий с начала процесса сборки модуля, с выводом всех сообщений под спойлер.
У вас ядро из репозитария или собранное?
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290

wegas9393

Так вроде со всем разобрался,но есть проблемка база собирается с расширением iv0
А команда требует iv4 Could not open /usr/share/xt_geoip/LE/CN.iv4: No such file or directory
Базу собирал как описано тут https://debian.pro/510

ihammers

Что выдаёт следующая команда:
ls /usr/share/xt_geoip/LE/CN.*
Какую версию kernel и iptables? Для различных версий kernel и iptables требуется различные версии xtables-addons, какую используете вы?
PS: ссылки на различные версии: xtables-addons.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290

wegas9393

Цитата: ihammers от 22 января 2015, 05:53:20
Что выдаёт следующая команда:
ls /usr/share/xt_geoip/LE/CN.*
Какую версию kernel и iptables? Для различных версий kernel и iptables требуется различные версии xtables-addons, какую используете вы?
PS: ссылки на различные версии: xtables-addons.

Версия ядра:Linux 3.14.27-xxxx-grs-ipv6-64 x86_64
Версия iptables:v1.4.14

Что выдаёт следующая команда:
ls /usr/share/xt_geoip/LE/CN.*
Выдаёт:
/usr/share/xt_geoip/LE/CN.iv0  /usr/share/xt_geoip/LE/CN.iv6
/usr/share/xt_geoip/LE/CN.iv4

ihammers

Установил на виртуалку Jessie. Установил следующие пакеты, после чего иногда требуется либо подключить модуль, либо перезагрузить машину:
~# apt-get install xtables-addons-source xtables-addons-common libxml-csv-perl libtext-csv-perl unzip
Скачал xtables-addons (для создания базы) и расспокавал его:
~# wget http://heanet.dl.sourceforge.net/project/xtables-addons/Xtables-addons/2.2/xtables-addons-2.2.tar.xz
~# tar -xf xtables-addons-2.2.tar.xz

Зашёл в дерикторию и запустил скрипт для скачивания базы в формате csv:
~# cd xtables-addons-2.2/geoip
~# ./xt_geoip_dl

Сконвертировал базу в другой формат, через следующую команду:
./xt_geoip_build -D /usr/share/xt_geoip *.csv

Проверка:
~# iptables -I INPUT ! -i lo -m geoip --src-cc CN -j DROP
~# iptables-save
# Generated by iptables-save v1.4.21 on Thu Jan 22 20:00:30 2015
*filter
:INPUT ACCEPT [398:28284]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [246:29898]
-A INPUT ! -i lo -m geoip --source-country CN  -j DROP
COMMIT
# Completed on Thu Jan 22 20:00:30 2015
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290

alekcei

делал как в последнем примере
и как тут http://vds-admin.ru/security/iptables-geoip

во втором руководстве
без базы geoip добавляю правило получаю в ответ
Could not open /usr/share/xt_geoip/LE/US.iv4: No such file or directory
собираю базу добавляю правило получаю
:iptables: No chain/target/match by that name.
lsmod показывает что модуля geoip нет
debian jessie
как победить?

ihammers

Проверьте версию ядра, iptables и xtables-addons, возможно какой-то из пакетов не подходит другому по версии.
Насколько я помню, то в архиве с xtables-addons содержится файл, в котором указаны версии.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290

alekcei

#10
iptables v1.4.21
ядро 3.16.7-ckt11-1
xtables 2.6-1


в файле нашёл
v2.6 (2014-09-29)
=================
Enhancements:
- Support for Linux 3.16, 3.17
Fixes:
- xt_pknock: UDP SPA mode erroneously returned an error saying
  crypto was unavailable

файле install версии xtables 2.6 Supported configurations for this release
=========================================

* iptables >= 1.4.5

* kernel-devel >= 3.7





Cообщение объединено 12 июня 2015, 01:32:38

устанавил из репозитория, в папке /lib/xtables

модуль geoip есть. загружаться нехочет
в логах записи про него нет

ihammers

Попробуйте использовать немного версию xtables по старее, или повторите действия с теми версиями, которые указывал я в посте выше.
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290

alekcei

Цитата: alekcei от 10 июня 2015, 22:42:52~# wget http://heanet.dl.sourceforge.net/project/xtables-addons/Xtables-addons/2.2/xtables-addons-2.2.tar.xz
~# tar -xf xtables-addons-2.2.tar.xz

это пробовал. не помогает.
замучался я с ним. пробовал старее, не мопомогает. в итоге забил.....

ihammers

Цитата: alekcei от 15 июня 2015, 12:23:39это пробовал. не помогает.
замучался я с ним. пробовал старее, не мопомогает. в итоге забил.....
Если вы боретесь с подбором паролей, то установите fail2ban, что усложнит подбор пароля к системе.

PS: как будет время постараюсь поднять виртуальную систему и проверить последнюю версию xtables-addons.
PS:: а ставить пакет (xtables-addons-common) из репозитария не пробовали?
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64,
LXQt/KDE/OpenBox AMD Phenon X4 / 16Gb RAM / ATI HD7750 Silent
_______________________________
Debian GNU/Linux Stretch, kernel 4.9.0-5-amd64, LXQt/KDE/OpenBox
Acer Aspire One 722 AMD C60 / 4Gb RAM / ATI HD6290

cubespace

Доброго времени суток!
Такая же проблема.

Debian - 7.5

И вот еще добавлю что у меня:


# iptables -I INPUT ! -i lo -m geoip --src-cc CN -j DROP
iptables: No chain/target/match by that name.



# module-assistant --verbose --text-mode auto-install xtables-addons-common
Updating info about xtables-addons-common

Updated infos about 1 packages
Getting source for kernel version: 3.10.23-xxxx-std-ipv6-64
apt-get install linux-headers-3.10.23-xxxx-std-ipv6-64
Reading package lists... Done
Building dependency tree
Reading state information... Done
E: Unable to locate package linux-headers-3.10.23-xxxx-std-ipv6-64
E: Couldn't find any package by regex 'linux-headers-3.10.23-xxxx-std-ipv6-64'
apt-get install build-essential
Reading package lists... Done
Building dependency tree
Reading state information... Done
build-essential is already the newest version.
0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

Done!


Bad luck, the kernel headers for the target kernel version could not be found and you did not specify other valid kernel headers to use.


If the running kernel has been shipped with the Debian distribution, please install the package linux-headers-3.10.23-xxxx-std-ipv6-64. If your kernel source tree (or headers) is located in some non-usual location, please set the
KERNELDIRS environment variable to the path of this directory, or (alternatively) specify the source directory we build for with the --kernel-dir option in module-assistant calls.



# lsmod
libkmod: ERROR ../libkmod/libkmod-module.c:1567 kmod_module_new_from_loaded: could not open /proc/modules: No such file or directory
Error: could not get list of modules: No such file or directory


Как исправить ?