Bloqueio de Países com IPTables
Dependendo do tráfego e dos visitantes esperados para um determinado servidor, talvez a disponibilização para alguns países não seja necessária, devido ao idioma em que as páginas do servidor web foram publicadas, ou simplesmente por não existirem clientes em potencial nessas regiões. Aprenda como bloquear os países necessários de forma automatizada.
[ Hits: 8.641 ]
Por: Diego Mendes Rodrigues em 17/01/2021 | Blog: https://www.linkedin.com/in/diegomendesrodrigues/
Introdução
Dependendo do tráfego e dos visitantes esperados para um determinado servidor, talvez a disponibilização para alguns países não seja necessária, devido ao idioma em que as páginas do servidor web foram publicadas, ou simplesmente por não existirem clientes em potencial nessas regiões.
Em alguns casos, o servidor pode receber muitas tentativas de ataques provenientes de alguns países, além de outros diversos tipos de possíveis motivos. Cada administrador terá suas necessidades para realizar o bloquei de algum país.
Neste material iremos utilizar um excelente script para a realização dos bloqueios, publicado no CyberCiti.biz.
su
Criaremos agora um diretório para armazenar nossos scripts:
# mkdir /root/scripts
# cd /root/scripts
O próximo passo é realizar o download do script e alterar suas permissões.
# wget https://foratdot.info/scripts/bloqueo-paises.sh
# chmod 0700 bloqueo-paises.sh
Podemos então editar o script, para alterar quais países serão bloqueados.
# nano bloqueo-paises.sh
Observe que na primeira linha de configuração (ISO) estamos dizendo para o script que desejamos bloquear a Rússia, Afeganistão e a China, com as siglas "ru", "af" e "ch".
Obs.: caso você precise saber quais siglas representam cada país, visite o site IPDeny.com, pois é deste site que o script baixa as listas de IPs que serão utilizadas nos bloqueios.
Na próxima imagem, você encontra uma configuração mais elaborada, com uma lista maior de países que serão bloqueados no servidor.
Ao finalizar a configuração, devemos executar o script pela primeira vez:
# ./bloqueo-paises.sh
Execute e deixe ele em execução, pois o download das listas de IPs que serão bloqueados pode demorar vários minutos.
Agora vamos automatizar para que o script seja executado automaticamente, sendo que ele então descarrega as listas de IPs atualizadas do site IPDeny, deixando o servidor sempre protegido com as listas de IPs mais recentes.
# crontab -e
Adicionar a seguinte linha, para que o script seja executado às 00:01, no primeiro dia de cada mês:
Agora que o script está configurado e foi executado, podemos ver ele funcionando através de nossos logs.
Veja o resultado no meu servidor:
# tail -f /var/log/syslog
Espero que esse material ajude você na proteção de seus servidores.
Em alguns casos, o servidor pode receber muitas tentativas de ataques provenientes de alguns países, além de outros diversos tipos de possíveis motivos. Cada administrador terá suas necessidades para realizar o bloquei de algum país.
Neste material iremos utilizar um excelente script para a realização dos bloqueios, publicado no CyberCiti.biz.
Script
Para iniciar, vamos nos identificar como o super usuário root, com o comando:su
Criaremos agora um diretório para armazenar nossos scripts:
# mkdir /root/scripts
# cd /root/scripts
O próximo passo é realizar o download do script e alterar suas permissões.
# wget https://foratdot.info/scripts/bloqueo-paises.sh
# chmod 0700 bloqueo-paises.sh
Podemos então editar o script, para alterar quais países serão bloqueados.
# nano bloqueo-paises.sh
Obs.: caso você precise saber quais siglas representam cada país, visite o site IPDeny.com, pois é deste site que o script baixa as listas de IPs que serão utilizadas nos bloqueios.
Na próxima imagem, você encontra uma configuração mais elaborada, com uma lista maior de países que serão bloqueados no servidor.
Bloqueio de forma automatizada
Recordo que quanto mais países forem bloqueados, mais IPs serão utilizados nas listas de bloqueio. Desta forma, caso tenhamos muitos países, teremos muitas regras no IPTables, podendo causar lentidão no servidor. Coloque apenas os países que realmente precisam ser bloqueados.Ao finalizar a configuração, devemos executar o script pela primeira vez:
# ./bloqueo-paises.sh
Execute e deixe ele em execução, pois o download das listas de IPs que serão bloqueados pode demorar vários minutos.
Agora vamos automatizar para que o script seja executado automaticamente, sendo que ele então descarrega as listas de IPs atualizadas do site IPDeny, deixando o servidor sempre protegido com as listas de IPs mais recentes.
# crontab -e
Adicionar a seguinte linha, para que o script seja executado às 00:01, no primeiro dia de cada mês:
# Bloqueio de países
1 0 1 * * /root/scripts/bloqueo-paises.sh
1 0 1 * * /root/scripts/bloqueo-paises.sh
Agora que o script está configurado e foi executado, podemos ver ele funcionando através de nossos logs.
Veja o resultado no meu servidor:
# tail -f /var/log/syslog
Páginas do artigo
1. IntroduçãoOutros artigos deste autor
Instalando MariaDB no Debian e Ubuntu
KeePassXC - Gerenciador de Senhas de Código Aberto Voltado à Comunidade
Leitura recomendada
ttyrec - Ferramenta para auditoria de sistemas Linux
Aspecto de segurança para uma arquitetura web
Vírus em câmeras digitais: possibilidades
Scanners de portas e de vulnerabilidades
O espaço e a segurança cibernética
Comentários
[1] Comentário enviado por maurixnovatrento em 17/01/2021 - 22:55h
Caraca. Esse script é f***. Vou salva-lo caso eu precise algum dia.
___________________________________________________________
[code]Conhecimento não se Leva para o Túmulo.
https://github.com/MauricioFerrari-NovaTrento [/code]
Caraca. Esse script é f***. Vou salva-lo caso eu precise algum dia.
___________________________________________________________
[code]Conhecimento não se Leva para o Túmulo.
https://github.com/MauricioFerrari-NovaTrento [/code]
[2] Comentário enviado por CapitainKurn em 18/01/2021 - 02:59h
Russofobia! Que coisa feia! Rsss
Sugiro que ande pelos foruns russos com o tradutor do Yandex para ajudar que vai encontrar muita coisa boa.
Russofobia! Que coisa feia! Rsss
Sugiro que ande pelos foruns russos com o tradutor do Yandex para ajudar que vai encontrar muita coisa boa.
[3] Comentário enviado por KAKAROTO86 em 29/11/2021 - 16:15h
Eu achei interessante o artigo e fiz o procedimento, porém ao reiniciar o servidor, eu vi que as regras não se aplicam automaticamente. Alguma sugestão?
Eu achei interessante o artigo e fiz o procedimento, porém ao reiniciar o servidor, eu vi que as regras não se aplicam automaticamente. Alguma sugestão?
[4] Comentário enviado por carlosalberto4ti em 18/09/2023 - 11:52h
Otima postagem
'
#!/bin/bash
# El objetivo de este script es bloquear todo el tráfico de AFGHANISTAN (af) y CHINA (CN). Se puede usar la variable ISO para fijar qué paÃses queremos bloquear.
# See url for more info - http://www.cyberciti.biz/faq/?p=3402
# Author: nixCraft <www.cyberciti.biz> under GPL v.2.0+
# -------------------------------------------------------------------------------
ISO="ru af cn"
### Variables para facilitar el uso del script que apuntan a iptables (cortafuegos), wget para coger los archivos de la base de datos y egrep para seleccionar la IP sin ningún sÃmbolo que iptables no pueda interpretar ###
IPT=/sbin/iptables
WGET=/usr/bin/wget
EGREP=/bin/egrep
#Nueva tabla en iptables sobre el baneo por región
SPAMLIST="countrydrop"
#Ubicacion donde se guarda la base de datos de
ZONEROOT="/root/iptables"
#URL de la base de datos de paises
DLROOT="http://www.ipdeny.com/ipblocks/data/countries"
#Funcion para limpiar todas las reglas del firewall y lo ponemos por defecto.
cleanOldRules(){
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
}
#Creamos el directorio para almacenar la base de datos
[ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT
#Ejecutamos la funcion
cleanOldRules
#Creamos la nueva tabla de iptables con el nombre de la variable SPAMLIST
$IPT -N $SPAMLIST
for c in $ISO
do
# Base de datos local
tDB=$ZONEROOT/$c.zone
# Descargamos y actualizamos la base de datos
$WGET -O $tDB $DLROOT/$c.zone
# Mensaje del pais baneado que aparecerá en el log de iptables
SPAMDROPMSG="$c Country Drop"
# Filtramos la base de datos para que iptables interprete correctamente la base de datos y vamos anadiendo cada bloque de IP.
BADIPS=$(egrep -v "^#|^$" $tDB)
for ipblock in $BADIPS
do
$IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
$IPT -A $SPAMLIST -s $ipblock -j DROP
done
done
# Drop todo
$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST
exit 0
'
Otima postagem
'
#!/bin/bash
# El objetivo de este script es bloquear todo el tráfico de AFGHANISTAN (af) y CHINA (CN). Se puede usar la variable ISO para fijar qué paÃses queremos bloquear.
# See url for more info - http://www.cyberciti.biz/faq/?p=3402
# Author: nixCraft <www.cyberciti.biz> under GPL v.2.0+
# -------------------------------------------------------------------------------
ISO="ru af cn"
### Variables para facilitar el uso del script que apuntan a iptables (cortafuegos), wget para coger los archivos de la base de datos y egrep para seleccionar la IP sin ningún sÃmbolo que iptables no pueda interpretar ###
IPT=/sbin/iptables
WGET=/usr/bin/wget
EGREP=/bin/egrep
#Nueva tabla en iptables sobre el baneo por región
SPAMLIST="countrydrop"
#Ubicacion donde se guarda la base de datos de
ZONEROOT="/root/iptables"
#URL de la base de datos de paises
DLROOT="http://www.ipdeny.com/ipblocks/data/countries"
#Funcion para limpiar todas las reglas del firewall y lo ponemos por defecto.
cleanOldRules(){
$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t mangle -F
$IPT -t mangle -X
$IPT -P INPUT ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -P FORWARD ACCEPT
}
#Creamos el directorio para almacenar la base de datos
[ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT
#Ejecutamos la funcion
cleanOldRules
#Creamos la nueva tabla de iptables con el nombre de la variable SPAMLIST
$IPT -N $SPAMLIST
for c in $ISO
do
# Base de datos local
tDB=$ZONEROOT/$c.zone
# Descargamos y actualizamos la base de datos
$WGET -O $tDB $DLROOT/$c.zone
# Mensaje del pais baneado que aparecerá en el log de iptables
SPAMDROPMSG="$c Country Drop"
# Filtramos la base de datos para que iptables interprete correctamente la base de datos y vamos anadiendo cada bloque de IP.
BADIPS=$(egrep -v "^#|^$" $tDB)
for ipblock in $BADIPS
do
$IPT -A $SPAMLIST -s $ipblock -j LOG --log-prefix "$SPAMDROPMSG"
$IPT -A $SPAMLIST -s $ipblock -j DROP
done
done
# Drop todo
$IPT -I INPUT -j $SPAMLIST
$IPT -I OUTPUT -j $SPAMLIST
$IPT -I FORWARD -j $SPAMLIST
exit 0
'
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Monitorando o Preço do Bitcoin ou sua Cripto Favorita em Tempo Real com um Widget Flutuante
IA Turbina o Desktop Linux enquanto distros renovam forças
Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)
Dicas
Ativando e usando "zoom" no ambiente Cinnamon
Vídeo Nostálgico de Instalação do Conectiva Linux 9
Como realizar um ataque de força bruta para desobrir senhas?
Tópicos
Thinkpads são bons mesmo ?! (3)
Eu queria adicionar a incon do wifi e deixa transparente no fluxbox no... (2)
Scripts ou binários [RESOLVIDO] (5)
Perfil criado no samba ad dc não loga no Windows 10 e 11 (12)
Top 10 do mês
-
Xerxes
1° lugar - 116.021 pts -
Fábio Berbert de Paula
2° lugar - 81.456 pts -
Mauricio Ferrari
3° lugar - 24.582 pts -
Alberto Federman Neto.
4° lugar - 23.598 pts -
edps
5° lugar - 21.950 pts -
Daniel Lara Souza
6° lugar - 20.761 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
7° lugar - 20.711 pts -
Andre (pinduvoz)
8° lugar - 19.816 pts -
Buckminster
9° lugar - 19.392 pts -
Diego Mendes Rodrigues
10° lugar - 16.382 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
