LINUX.ORG.RU
решено ФорумAdmin

geoip для firewall-cmd не хочет работать. Как найти ошибку?

 , ,


0

2

Здавствуйте люди! Я - новичок в linux. Очень туго всё доходит, но на допах задали на лето научиться работать в linux. Что-нибудь надо сделать и потом показать, рассказать, что могу работать с linux. Решил научиться сразу, чтоб в конце августа не париться. Мне выдали доступ на сервер где много всяких сереверов. Лотерея была. Мне попался Red Hat Enterprise Linux Server 7.5 (Maipo). Установил Apache 2.4.6. и у меня появились гости. Их много, выглядят примерно одинаково. Примерно так: 

192.169.226.71 - - [25/May/2018:21:27:40 +0300] "GET / HTTP/1.1" 200 64172 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:27:54 +0300] "GET /script HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:28:01 +0300] "GET /jenkins/script HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:28:12 +0300] "GET /login HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:28:20 +0300] "GET /jmx-console HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:28:38 +0300] "GET /manager/html HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:28:41 +0300] "GET /msd HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:28:57 +0300] "GET /mySqlDumper HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:29:05 +0300] "GET /msd1.24stable HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:29:24 +0300] "GET /msd1.24.4 HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:29:28 +0300] "GET /mysqldumper HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:29:46 +0300] "GET /MySQLDumper HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:29:59 +0300] "GET /mysql HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:30:10 +0300] "GET /sql HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:30:23 +0300] "GET /phpmyadmin HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:30:33 +0300] "GET /phpMyAdmin HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:30:43 +0300] "GET /mysql HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:31:01 +0300] "GET /sql HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:31:16 +0300] "GET /myadmin HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:31:22 +0300] "GET /phpMyAdmin-4.2.1-all-languages HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:31:30 +0300] "GET /phpMyAdmin-4.2.1-english HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:31:36 +0300] "GET / HTTP/1.1" 200 64172 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:31:44 +0300] "GET /sqlite/main.php HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:31:52 +0300] "GET /SQLite/SQLiteManager-1.2.4/main.php HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:32:04 +0300] "GET /SQLiteManager-1.2.4/main.php HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:32:12 +0300] "GET /sqlitemanager/main.php HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:32:27 +0300] "GET /SQlite/main.php HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
192.169.226.71 - - [25/May/2018:21:32:31 +0300] "GET /SQLiteManager/main.php HTTP/1.1" 404 25405 "-" "Python-urllib/2.7"
46.246.42.133 - - [26/May/2018:04:12:10 +0300] "GET /muieblackcat HTTP/1.1" 404 9694 "-" "-"
46.246.42.133 - - [26/May/2018:04:12:11 +0300] "GET //phpMyAdmin/scripts/setup.php HTTP/1.1" 404 9694 "-" "-"
46.246.42.133 - - [26/May/2018:04:12:11 +0300] "GET //phpmyadmin/scripts/setup.php HTTP/1.1" 404 9694 "-" "-"
46.246.42.133 - - [26/May/2018:04:12:12 +0300] "GET //pma/scripts/setup.php HTTP/1.1" 404 9694 "-" "-"
46.246.42.133 - - [26/May/2018:04:12:12 +0300] "GET //myadmin/scripts/setup.php HTTP/1.1" 404 9694 "-" "-"
46.246.42.133 - - [26/May/2018:04:12:13 +0300] "GET //MyAdmin/scripts/setup.php HTTP/1.1" 404 9694 "-" "-"
46.243.189.60 - - [26/May/2018:04:22:10 +0300] "GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1" 404 9694 "-" "ZmEu"
46.243.189.60 - - [26/May/2018:04:22:10 +0300] "GET /phpMyAdmin/scripts/setup.php HTTP/1.1" 404 9694 "-" "ZmEu"
46.243.189.60 - - [26/May/2018:04:22:10 +0300] "GET /phpmyadmin/scripts/setup.php HTTP/1.1" 404 9694 "-" "ZmEu"
46.243.189.60 - - [26/May/2018:04:22:10 +0300] "GET /pma/scripts/setup.php HTTP/1.1" 404 9694 "-" "ZmEu"
46.243.189.60 - - [26/May/2018:04:22:10 +0300] "GET /myadmin/scripts/setup.php HTTP/1.1" 404 9694 "-" "ZmEu"
46.243.189.60 - - [26/May/2018:04:22:10 +0300] "GET /MyAdmin/scripts/setup.php HTTP/1.1" 404 9694 "-" "ZmEu"
но бывают и с «сurl», и со всякими другим скачивающим. Тем, которые с «сurl» приходят и хотят скачать что-нибудь вроде setup.php я создал такие файлы размером побольше. Положил файлы кино и назвал файлы как им хочется setup.php и install.php в нужных каталогах, и они качают хорошо. Я ещё не придумал что можно сделать с этим apache, там пока вообще пусто. Но я спросить хотел о другом. Видел в гугле что можно ограничить это огромное количество желающих скачать кино в виде install.php или setup.php Повозился с firewall-cmd. Создал с помощью ipset лист и записал туда кое-каких качающих. Больше они не кочают. Но всё равно качающих остаётся очень много. Почитал что можно ограничить качающих по странам. Чтоб сегодня качали только из России например. Завтра чтоб кочали только их Болгарии. Их мало. В основном качающие из Украины, Бразилии, Турции, китайцев и пиндосов тоже много. Установил xtables-addons, но у меня почему-то это не работает. 
# uname -a
Linux myserver 3.10.0-862.3.2.el7.x86_64 #1 SMP Tue May 15 18:22:15 EDT 2018 x86_64 x86_64 x86_64 GNU/Linux
# ./xt_geoip_dl
# ./xt_geoip_build GeoIPCountryWhois.csv
# mkdir -p /usr/share/xt_geoip/
# cp -r {BE,LE} /usr/share/xt_geoip/
# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -m geoip ! --src-cc RU -j DROP
success
# firewall-cmd --reload
# firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 0 -m geoip ! --src-cc RU -j DROP
Warning: ALREADY_ENABLED: rule '['-m', 'geoip', '!', '--src-cc', 'RU', '-j', 'DROP']' already is in 'ipv4:filter:INPUT'
success
# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: enp6s0f0
  sources: 
  services: http ssh https
  ports: 22/tcp 80/tcp 443/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
        rule source NOT ipset="mysshconnect" port port="22" protocol="tcp" reject
	rule source ipset="webdownloader" port port="80" protocol="tcp" reject
	rule source ipset="webdownloader" port port="443" protocol="tcp" reject
Вобщем это geoip хоть и «success» пишет, и правило куда-то добавляет, и при повторном добавлении ругается что правило уже есть, но качающие гости продолжают ходить из всевозможных стран. Тупое добавление такого качальщика в лист ipset (у меня это webdownloader) срабатывает и качальщик исчезает. Где я мог накосячить, что у меня блокировка по geoip не срабатывает? И как можно проверить что именно ещё надо? В журналах ничего подозрительного или я не замечаю. Как проверить, чтоб найти проблему, а то success - это здорово, но если бы оно ещё и работало...

Я, наверное, ошибся, когда подумал, что firewall-cmd --list выводит почти тоже самое, но короче. Вот, iptables-save выводит длиннее: 

# Generated by iptables-save v1.4.21 on Sat May 26 18:37:01 2018
*nat
:PREROUTING ACCEPT [3309:517496]
:INPUT ACCEPT [11:548]
:OUTPUT ACCEPT [188:27172]
:POSTROUTING ACCEPT [188:27172]
:OUTPUT_direct - [0:0]
:POSTROUTING_ZONES - [0:0]
:POSTROUTING_ZONES_SOURCE - [0:0]
:POSTROUTING_direct - [0:0]
:POST_public - [0:0]
:POST_public_allow - [0:0]
:POST_public_deny - [0:0]
:POST_public_log - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -s 192.168.168.0/24 -d 224.0.0.0/24 -j RETURN
-A POSTROUTING -s 192.168.168.0/24 -d 255.255.255.255/32 -j RETURN
-A POSTROUTING -s 192.168.168.0/24 ! -d 192.168.168.0/24 -p tcp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.168.0/24 ! -d 192.168.168.0/24 -p udp -j MASQUERADE --to-ports 1024-65535
-A POSTROUTING -s 192.168.168.0/24 ! -d 192.168.168.0/24 -j MASQUERADE
-A POSTROUTING -j POSTROUTING_direct
-A POSTROUTING -j POSTROUTING_ZONES_SOURCE
-A POSTROUTING -j POSTROUTING_ZONES
-A POSTROUTING_ZONES -o enp6s0f0 -g POST_public
-A POSTROUTING_ZONES -g POST_public
-A POST_public -j POST_public_log
-A POST_public -j POST_public_deny
-A POST_public -j POST_public_allow
-A PREROUTING_ZONES -i enp6s0f0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Sat May 26 18:37:01 2018
# Generated by iptables-save v1.4.21 on Sat May 26 18:37:01 2018
*mangle
:PREROUTING ACCEPT [9287:1068448]
:INPUT ACCEPT [6384:591507]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4849:1728414]
:POSTROUTING ACCEPT [5001:1764894]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
:POSTROUTING_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
-A POSTROUTING -j POSTROUTING_direct
-A PREROUTING_ZONES -i enp6s0f0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Sat May 26 18:37:01 2018
# Generated by iptables-save v1.4.21 on Sat May 26 18:37:01 2018
*security
:INPUT ACCEPT [5992:551656]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4851:1728622]
:FORWARD_direct - [0:0]
:INPUT_direct - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -j INPUT_direct
-A FORWARD -j FORWARD_direct
-A OUTPUT -j OUTPUT_direct
COMMIT
# Completed on Sat May 26 18:37:01 2018
# Generated by iptables-save v1.4.21 on Sat May 26 18:37:01 2018
*raw
:PREROUTING ACCEPT [9290:1068604]
:OUTPUT ACCEPT [4851:1728622]
:OUTPUT_direct - [0:0]
:PREROUTING_ZONES - [0:0]
:PREROUTING_ZONES_SOURCE - [0:0]
:PREROUTING_direct - [0:0]
:PRE_public - [0:0]
:PRE_public_allow - [0:0]
:PRE_public_deny - [0:0]
:PRE_public_log - [0:0]
-A PREROUTING -j PREROUTING_direct
-A PREROUTING -j PREROUTING_ZONES_SOURCE
-A PREROUTING -j PREROUTING_ZONES
-A OUTPUT -j OUTPUT_direct
-A PREROUTING_ZONES -i enp6s0f0 -g PRE_public
-A PREROUTING_ZONES -g PRE_public
-A PRE_public -j PRE_public_log
-A PRE_public -j PRE_public_deny
-A PRE_public -j PRE_public_allow
COMMIT
# Completed on Sat May 26 18:37:01 2018
# Generated by iptables-save v1.4.21 on Sat May 26 18:37:01 2018
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4849:1728414]
:FORWARD_IN_ZONES - [0:0]
:FORWARD_IN_ZONES_SOURCE - [0:0]
:FORWARD_OUT_ZONES - [0:0]
:FORWARD_OUT_ZONES_SOURCE - [0:0]
:FORWARD_direct - [0:0]
:FWDI_public - [0:0]
:FWDI_public_allow - [0:0]
:FWDI_public_deny - [0:0]
:FWDI_public_log - [0:0]
:FWDO_public - [0:0]
:FWDO_public_allow - [0:0]
:FWDO_public_deny - [0:0]
:FWDO_public_log - [0:0]
:INPUT_ZONES - [0:0]
:INPUT_ZONES_SOURCE - [0:0]
:INPUT_direct - [0:0]
:IN_public - [0:0]
:IN_public_allow - [0:0]
:IN_public_deny - [0:0]
:IN_public_log - [0:0]
:OUTPUT_direct - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j INPUT_direct
-A INPUT -j INPUT_ZONES_SOURCE
-A INPUT -j INPUT_ZONES
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -j FORWARD_direct
-A FORWARD -j FORWARD_IN_ZONES_SOURCE
-A FORWARD -j FORWARD_IN_ZONES
-A FORWARD -j FORWARD_OUT_ZONES_SOURCE
-A FORWARD -j FORWARD_OUT_ZONES
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -j OUTPUT_direct
-A FORWARD_IN_ZONES -i enp6s0f0 -g FWDI_public
-A FORWARD_IN_ZONES -g FWDI_public
-A FORWARD_OUT_ZONES -o enp6s0f0 -g FWDO_public
-A FORWARD_OUT_ZONES -g FWDO_public
-A FWDI_public -j FWDI_public_log
-A FWDI_public -j FWDI_public_deny
-A FWDI_public -j FWDI_public_allow
-A FWDI_public -p icmp -j ACCEPT
-A FWDO_public -j FWDO_public_log
-A FWDO_public -j FWDO_public_deny
-A FWDO_public -j FWDO_public_allow
-A INPUT_ZONES -i enp6s0f0 -g IN_public
-A INPUT_ZONES -g IN_public
-A IN_public -j IN_public_log
-A IN_public -j IN_public_deny
-A IN_public -j IN_public_allow
-A IN_public -p icmp -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 80 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_allow -p tcp -m tcp --dport 443 -m conntrack --ctstate NEW -j ACCEPT
-A IN_public_deny -p tcp -m set ! --match-set mysshconnect src -m tcp --dport 22 -m conntrack --ctstate NEW -j REJECT --reject-with icmp-port-unreachable
-A IN_public_deny -p tcp -m set --match-set webdownloader src -m tcp --dport 80 -m conntrack --ctstate NEW -j REJECT --reject-with icmp-port-unreachable
-A IN_public_deny -p tcp -m set --match-set webdownloader src -m tcp --dport 443 -m conntrack --ctstate NEW -j REJECT --reject-with icmp-port-unreachable
COMMIT
# Completed on Sat May 26 18:37:01 2018



Последнее исправление: NewbieLinux (всего исправлений: 4)
Десктопная или серверная версия Debian на обычной сборке ПК
WDS на TP-Link с LEDE

У меня «качающих» не очень много— чуть больше сотни IP. Просто забанил их в firewalld

Twissel ★★★★★
()
Ответ на: комментарий от anc

Дополнил выше в сам вопрос. Честно, я туда вчера и сам смотрел. Но особой разницы с выводом firewall-cmd --list не понял. Потому что я - новичок. А на что там можно посмотреть, чтоб понять почему правило с geoip добавляется с «success», но хранится... я не знаю где, а при повторной попытке ввода такого же правила сообщается с варнингом, что всё хоккейно, такое уже есть?

NewbieLinux
() автор топика
Ответ на: комментарий от Twissel

Вам везёт. Я тут загрепил своих гостей на uniq по ипам. Вчера включил apache. До полуночи было разных чуть меньше тыщи. Сегодня уже больше.

NewbieLinux
() автор топика
Ответ на: комментарий от NewbieLinux

правило с geoip добавляется с «success», но хранится... я не знаю где

В смысле? как посмотреть? Ну, вот так, например:

# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 1 -m geoip '!' --src-cc RU -j DROP

Но вот на сколько вся эта история рабочая - это я не подскажу. Лично у меня тоже не получилось. Да и народ жаловался. Например здесь: https://superuser.com/questions/983589/using-firewalld-and-firewall-cmd-how-t...

anonymous
()
Ответ на: комментарий от anonymous

Да. спасибо. Есть такое правило там. Но толка от него ни чуть почемуто. Сам к себе влёгкую зашол из германии. По идее не должен был, но легко. Посмотрел в логи апача, там и я со своим соединением, и из шенженя чуваки кочают страницы с ютуба. Я решил кино больше не раздавать, налепил редиректов на youtube: 

45.249.92.102 - - [26/May/2018:17:25:13 +0300] "GET /pmd/index.php HTTP/1.1" 302 - "-" "Mozilla/5.0"
45.249.92.102 - - [26/May/2018:17:25:14 +0300] "GET /pma/index.php HTTP/1.1" 302 - "-" "Mozilla/5.0"
45.249.92.102 - - [26/May/2018:17:25:14 +0300] "GET /PMA/index.php HTTP/1.1" 404 211 "-" "Mozilla/5.0"
45.249.92.102 - - [26/May/2018:17:25:15 +0300] "GET /PMA2/index.php HTTP/1.1" 404 212 "-" "Mozilla/5.0"
45.249.92.102 - - [26/May/2018:17:25:15 +0300] "GET /pmamy/index.php HTTP/1.1" 404 213 "-" "Mozilla/5.0"
45.249.92.102 - - [26/May/2018:17:25:15 +0300] "GET /pmamy2/index.php HTTP/1.1" 404 214 "-" "Mozilla/5.0"
45.249.92.102 - - [26/May/2018:17:25:16 +0300] "GET /mysql/index.php HTTP/1.1" 302 - "-" "Mozilla/5.0"
45.249.92.102 - - [26/May/2018:17:25:16 +0300] "GET /admin/index.php HTTP/1.1" 302 - "-" "Mozilla/5.0"
45.249.92.102 - - [26/May/2018:17:25:16 +0300] "GET /db/index.php HTTP/1.1" 302 - "-" "Mozilla/5.0"
а пущай китайцы порадуются, у них говорят трубу запретили.

Значит бесполезняк с этим геоипом возиться? Или я всё же где-то что-то недоделал или наоборот что-то не так сделал. Ошибок никакая прога не пишет. я не в курсе что бы тут ещё проверить?

NewbieLinux
() автор топика
Ответ на: комментарий от anonymous

Да что вы говорите? А мужики-то и не в курсе.

anc ★★★★★
()

Что говорит iptables -A INPUT -m geoip --src-cc RU -j ACCEPT
Вангую за отсутствие или модуля или данных geoip

anc ★★★★★
()
Ответ на: комментарий от anc

«Вангую» )))) Это клёва! Мне понравилось. А чё с глазами? Оно мне на такое ругается, что имени такой цепочки найти не может. Оно у меня добавляется так:

firewall-cmd --permanent --direct --add-rule ipv4 filter INPUT 1 -m geoip ! --src-cc RU -j DROP

потом оно действительно видно по той команде, что выше напечатали: 

# firewall-cmd --direct --get-all-rules
ipv4 filter INPUT 1 -m geoip '!' --src-cc RU -j DROP
Вобщем всё тож самое, что и ссылку выше давали. Это правило я добавляю, смотрю - есть. Потом удаляю: 
firewall-cmd --permanent --direct --remove-rule ipv4 filter INPUT 1 -m geoip ! --src-cc RU -j DROP
и его нет. Потом опять добавляю, но ничево не меняется. Релоады делаю конечно. Даже сервис перезапускал. Про модуль видел где-то вчера, что должен быть модуль какой-то. Не помню где это видел. Дело в том, что если исходники кочать, то там требуется ядро с выше 4. А у меня 3. Я пробовал помладше версии брать, всё равно не компилится. Тогда добавил репозиторий fusion и установил оттуда. Установилось без ошибок. Я и думаю себе: всё зашибись. Оно всё зашибись, но бестолковое и ни чуть не работает. Данных в /usr/share/xt_geoip дофига (на 2,5 Mb примерно), там в двух каталогах файлики, много.

NewbieLinux
() автор топика
Ответ на: комментарий от anc

Да, конечно, пожалуйста. Спасибо за участие в моей проблеме. Я немного отошёл... Вот такой вывод: 

# iptables -I INPUT -m geoip ! --src-cc RU -j DROP
iptables: No chain/target/match by that name.

NewbieLinux
() автор топика
Ответ на: комментарий от Jopich1

У меня тут apache. Второй сервер - это чересчур.

А пакет вот такой установился: 

# rpm -qi xtables-addons-2.13-2.el7.x86_64
Name        : xtables-addons
Version     : 2.13
Release     : 2.el7
Architecture: x86_64
Install Date: Сб 26 май 2018 23:35:14
Group       : System Environment/Base
Size        : 339006
License     : GPLv2 and LGPLv2
Signature   : RSA/SHA1, Пт 25 авг 2017 11:00:40, Key ID 758b3d18f5cf6c1e
Source RPM  : xtables-addons-2.13-2.el7.src.rpm
Build Date  : Чт 24 авг 2017 21:41:26
Build Host  : buildvm-02.online.rpmfusion.net
Relocations : (not relocatable)
Packager    : RPM Fusion
Vendor      : RPM Fusion
URL         : http://xtables-addons.sourceforge.net
Summary     : Extensions targets and matches for iptables
Description :
Xtables-addons provides extra modules for iptables not present in the kernel,
and is the successor of patch-o-matic. Extensions includes new targets like
TEE, TARPIT, CHAOS, or modules like geoip, ipset, and account.

NewbieLinux
() автор топика
Ответ на: комментарий от anc

Класс! Зафурычило! От германцев на себя не прошёл! Добавил вот это: 

# rpm -qi akmod-xtables-addons.x86_64
Name        : akmod-xtables-addons
Version     : 2.13
Release     : 1.el7
Architecture: x86_64
Install Date: Вс 27 май 2018 00:11:28
Group       : System Environment/Kernel
Size        : 334148
License     : GPLv2
Signature   : RSA/SHA1, Пн 10 июл 2017 11:06:55, Key ID 758b3d18f5cf6c1e
Source RPM  : xtables-addons-kmod-2.13-1.el7.src.rpm
Build Date  : Пн 03 июл 2017 20:12:19
Build Host  : buildvm-02.online.rpmfusion.net
Relocations : (not relocatable)
Packager    : RPM Fusion
Vendor      : RPM Fusion
URL         : http://xtables-addons.sourceforge.net
Summary     : Akmod package for xtables-addons kernel module(s)
Description :
This package provides the akmod package for the xtables-addons kernel modules.
И всё зафурыкало! Смерть китайско-индусскому бразильцу называется ))) Огромнейшее вам спасибо за подсказку!!!!

NewbieLinux
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Десктопная или серверная версия Debian на обычной сборке ПК
Admin
WDS на TP-Link с LEDE