Не верная блокировка

0

2

Народ подскажите пожалуйста куда копать.

использую geoip в iptables для блокировки забугорных IP, но тут возникла странная ситуация:

одному из компов пров выдал IP по DHCP, но правило iptables блокирует этот IP, хотя диапазон в котором находится данный IP принадлежит зоне RU(согласно GeoIPCountryWhois.csv), при удалении правила всё становится нормально.

само правило

iptables -I INPUT -i eth0 -p tcp -m tcp --dport 80 -m geoip ! --source-country RU -j DROP

Ссылка

←	Samba, отключить авторизацию в шаре

Переезд между VDS-ками + паранойа

→

хм, ты не первый за последние пару месяцев жалуешься на эту проблему.

Что за ядро/iptables/xtables-addons ?

Собранное под 4.4.3 xtables-addons-2.10 с geoip работает.

vel ★★★★★
(01.03.16 18:59:40 MSK)
Последнее исправление: vel 01.03.16 19:00:03 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 01.03.16 18:59:40 MSK

Linux pc 3.2.0-4-amd64 #1 SMP Debian 3.2.65-1+deb7u2 x86_64 GNU/Linux

xtables-addons из репозитория, пару дней назад всё работало, обновления никакие не ставил, и тут внезапно такое.

dik-m
(01.03.16 20:41:48 MSK) автор топика

Ответ на: комментарий от dik-m 01.03.16 20:41:48 MSK

GeoIPCountryWhois.csv не используется напрямую. он сначала преобразовывается в двоичный формат утилью xt_geoip_build

можно попробовать обновить базу ip-шников через xt_geoip_dl и потом обновить данные для модуля geoip через xt_geoip_build

vel ★★★★★
(01.03.16 21:21:26 MSK)

Ответ на: комментарий от vel 01.03.16 21:21:26 MSK

Да пересобрал сразу, но результата нет, поэтому и решил написать

dik-m
(02.03.16 06:29:27 MSK) автор топика

Ответ на: комментарий от dik-m 02.03.16 06:29:27 MSK

Если оно работало, а потом сломалось, значит кто-то что-то обновил.

А нет нормального ядра ? Хотя бы 3.4 или выше.

Между ядрами 2.6.32 и 3.4 было несколько революционных изменений в iptables, т.ч. xtables-addons должен быть не самый новый, а определенных версий.

какя версия xtables-addons у тебя ?

Возможно проблема именно в «дебиановской» сборке xtables-addons.

vel ★★★★★
(02.03.16 22:28:28 MSK)
Последнее исправление: vel 02.03.16 22:31:35 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 02.03.16 22:28:28 MSK

Пакет xtables-addons-common:
i 1.42-2

ничего не обновлялось 100%.
По DHCP пров выдал IP человеку который пытается подключиться, но его не пускает.

Удалил это правило и добавил почти такое же где указан несколько стран которые надо заблокировать(увы не все). пока работает нормально, но если прописывать "! --source-country RU" то не пускает хотя и IP закреплён за Россией

dik-m
(03.03.16 14:07:18 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Samba, отключить авторизацию в шаре

Admin

Переезд между VDS-ками + паранойа

→

Похожие темы