Xtables-Addons su Centos 6 & Iptables GeoIP filtraggio

Questo tutorial vi spiegherà come installare adizionale moduli per il kernel da usare con set di regole di iptables (moduli netfilter). Xtables-addons è il successore di patch-o-matic(-ng). Allo stesso modo, esso contiene le estensioni che non sono stati, o non sono ancora, accettano nei pacchetti del kernel principale/iptables. Xtables-addons è diverso da patch-o-matic in quanto non è necessario applicare delle patch o ricompilare il kernel.

1 Nota preliminare

Prima di iniziare, assicurarsi che SELinux è disabilitato. Correre

system-config-securitylevel

o modificare /etc/selinux/config.

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

per disabilitare SELinux, e…

echo 0 > /selinux/enforce

… per rendere effettiva la modifica.

2 configurazioni supportate

* iptables > = 1.4.3

* sorgente del kernel > = 2.6.29

Per ipset-6 è necessario:

* libmnl

* Linux kernel > = 2.6.35

3 pacchetti di installazione

Nota: è necessario la stessa versione del pacchetto kernel-devel come il kernel corrente!

uname -r

2.6.32-71.el6.i686

yum install gcc gcc-c++ make automake unzip zip xz kernel-devel-`uname -r` iptables-devel

In questo caso del kernel-devel-2.6.32-71.el6.i686

Installare repo rpmforge per pacchetto perl-testo-CSV_XS:

rpm -i http://packages.sw.be/rpmforge-release/rpmforge-release-0.5.2-2.el6.rf.i686.rpm

yum install perl-Text-CSV_XS

4 compilare xtables-addons

Ottenere codice sorgente xtables-addons e decomprimere esso:

wget http://downloads.sourceforge.net/project/xtables-addons/Xtables-addons/1.37/xtables-addons-1.37.tar.xz

tar xvf xtables-addons-1.37.tar.xz

Compilare moduli:

cd xtables-addons-1.37/

Nota: È possibile modificare il file “mconfig” per selezionare quali moduli per compilare ed installare. Per impostazione predefinita, tutti i moduli sono abilitati.

./configure

make && make install

5 impostazione geoip modulo

Creare database di geoip per iptables geoip corrispondono:

cd geoip/

Utilizzo della cartella di script modulo geoip scaricare e compilare il database di MaxMind GeoIPCountry :

./xt_geoip_dl

./xt_geoip_build GeoIPCountryWhois.csv

Spostare i file nel percorso predefinito:

mkdir -p /usr/share/xt_geoip/

cp -r {BE,LE} /usr/share/xt_geoip/

Testarlo come questo:

iptables -I INPUT -m geoip --src-cc CN -j DROP

Questo eliminerà tutte le connessioni in arrivo dalla Cina.

6 collegamenti

Xtables-addons: http://xtables-addons.sourceforge.net/

Moduli Xtables-addons: http://xtables-addons.sourceforge.net/modules.php

Pagina man di Xtables-addons: http://dev.medozas.de/files/xtables/xtables-addons.8.html

MaxMind GeoIP: http://geolite.maxmind.com/download/geoip/database

CentOS: http://www.centos.org/