LINUX.ORG.RU
ФорумAdmin

Не верная блокировка

 ,


0

2

Народ подскажите пожалуйста куда копать.

использую geoip в iptables для блокировки забугорных IP, но тут возникла странная ситуация:

одному из компов пров выдал IP по DHCP, но правило iptables блокирует этот IP, хотя диапазон в котором находится данный IP принадлежит зоне RU(согласно GeoIPCountryWhois.csv), при удалении правила всё становится нормально.

само правило

iptables -I INPUT -i eth0 -p tcp -m tcp --dport 80 -m geoip ! --source-country RU -j DROP



Последнее исправление: dik-m (всего исправлений: 1)

хм, ты не первый за последние пару месяцев жалуешься на эту проблему.

Что за ядро/iptables/xtables-addons ?

Собранное под 4.4.3 xtables-addons-2.10 с geoip работает.

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от vel

Linux pc 3.2.0-4-amd64 #1 SMP Debian 3.2.65-1+deb7u2 x86_64 GNU/Linux

xtables-addons из репозитория, пару дней назад всё работало, обновления никакие не ставил, и тут внезапно такое.

dik-m
() автор топика
Ответ на: комментарий от dik-m

GeoIPCountryWhois.csv не используется напрямую. он сначала преобразовывается в двоичный формат утилью xt_geoip_build

можно попробовать обновить базу ip-шников через xt_geoip_dl и потом обновить данные для модуля geoip через xt_geoip_build

vel ★★★★★
()
Ответ на: комментарий от dik-m

Если оно работало, а потом сломалось, значит кто-то что-то обновил.

А нет нормального ядра ? Хотя бы 3.4 или выше.

Между ядрами 2.6.32 и 3.4 было несколько революционных изменений в iptables, т.ч. xtables-addons должен быть не самый новый, а определенных версий.

какя версия xtables-addons у тебя ?

Возможно проблема именно в «дебиановской» сборке xtables-addons.

vel ★★★★★
()
Последнее исправление: vel (всего исправлений: 1)
Ответ на: комментарий от vel

Пакет xtables-addons-common:
i 1.42-2

ничего не обновлялось 100%.
По DHCP пров выдал IP человеку который пытается подключиться, но его не пускает.

Удалил это правило и добавил почти такое же где указан несколько стран которые надо заблокировать(увы не все). пока работает нормально, но если прописывать "! --source-country RU" то не пускает хотя и IP закреплён за Россией

dik-m
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.