Установка iptables geoip на debian 10

Был прекрасный день, светило солнце, шелестела трава, птички пели на деревьях, и черт меня дернул заглянуть в логи сервера. И о ужас, было обнаружено куча сканов ssh, vpn и других сервисов, портов. Быстро открыв браузер, тут же пожаловался об этом гуглу, он как настоящий друг порекомендовал мне iptables geoip!
Ну что ж, подумал я и принялся искать мануалы и тут же обнаружилась статья на хабре, собственно делюсь с вами.
iptables geoip не поставляется в репозиториях debian 10, поэтому мы будем собирать модуль к ядру. Поехали!

Установим все что нужно для сборки
apt install git build-essential autoconf make libtool iptables-dev libxtables-dev pkg-config libnet-cidr-lite-perl libtext-csv-xs-perl linux-headers-$(uname -r)

Клонируем репозиторий в любую папку, например в /opt/
git clone https://git.inai.de/xtables-addons xtables-addons

Заходим в папку с аддоном
cd xtables-addons

Теперь нужно отредактировать файл mconfig, ищем build_geoip и меняем значение на m, остальные на n.

Собираем
./autogen.sh
./configure
make
make install


Загружаем модуль
depmod -a
modprobe xt_geoip

Проверяем загружен ли модуль
lsmod | grep xt_geoip
Вывод должен быть таким
xt_geoip 16384
x_tables 45056


Создаем папку и заходим в нее
mkdir /usr/share/xt_geoip; cd /usr/share/xt_geoip
Получаем базу данных geoip
/usr/local/libexec/xtables-addons/xt_geoip_dl
Собираем базу данных geoip
/usr/local/libexec/xtables-addons/xt_geoip_build
На этом все.

Блокируем порт SSH всем, кто не из РФ
iptables -A INPUT ! -i lo -p tcp --dport 22 -m geoip ! --src-cc RU -j DROP

Блокируем несколько портов, разрешаем только для РФ
iptables -A INPUT ! -i lo -p udp -m multiport --dports 25,500,10011 -m geoip ! --source-country RU -j DROP

С протоколами tcp, udp думаю разберетесь.

Напомню, что лучше всего настраивать iptables на новом сервере, что бы не потерять доступ к серверу с данными.
А так же при обновление ядра, нужно собрать модуль заново.

Всю остальную информацию найдете в источнике на хабре. Удачи. Подробнее...

 

@Gho$t Дополни для какого дистра

 

а шо debian непонятно?) Добавил цифру 10

 

там на самом деле очень много нюансов с xt_ и дебианом. вплоть до версий ядра и версии самого xt_.
было время, когда оно мне сильно кровь попортило.

 

Debian 10 поставляется с ядром, которые уже поддерживают данный аддон, это ядро 4.15 и выше, iptables 1.6.0 и выше. Проблем быть не должно.