Bloquear China com iptables

Usando o iptables para identificar automaticamente, e depois bloquear, os malfeitores do ssh podem ser feitos usando o módulo recent . O segmento a seguir deve vir após sua linha genérica de ESTABLISHED,RELATED :

...
$IPTABLES -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state ESTABLISHED,RELATED -j ACCEPT
...
# Secure Shell on port 22.
#
# Sometimes I uncomment the next line to simply disable external SSH access.
# Particulalry useful when I am rebooting often, thereby losing my current BADGUY table.
# $IPTABLES -A INPUT -i $EXTIF -m state --state NEW -p tcp -s $UNIVERSE -d $EXTIP --dport 22 -j DROP

# Dynamic Badguy List. Detect and DROP Bad IPs that do password attacks on SSH.
# Once they are on the BADGUY list then DROP all packets from them.
# Sometimes make the lock time very long. Typically to try to get rid of coordinated attacks from China.
$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j LOG --log-prefix "SSH BAD:" --log-level info
$IPTABLES -A INPUT -i $EXTIF -m recent --update --hitcount 3 --seconds 90000 --name BADGUY_SSH -j DROP
$IPTABLES -A INPUT -i $EXTIF -p tcp -m tcp --dport 22 -m recent --set --name BADGUY_SSH -j ACCEPT

Agora, o recente (o último ano ou dois) problema com a China é que eles se tornaram muito inteligentes e muitas vezes, quando são bloqueados de um endereço IP, simplesmente mudam para outro na mesma sub-rede e continuam. Isso corre o risco de ficar sem entradas de tabela recentes padrão (acho que o padrão é 200). Eu monitorei isso e, em seguida, procurei o segmento IP real e bloqueei permanentemente o segmento inteiro. No meu caso, não me importo com danos colaterais, ou seja, bloquear alguém inocente:

#
# After a coordinated attack involving several sub-nets from China, they are now banned forever.
# List includes sub-nets from unknown origin, and perhaps Hong Kong
#
$IPTABLES -A INPUT -i $EXTIF -s 1.80.0.0/12 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 27.148.0.0/14 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 27.152.0.0/13 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 43.229.0.0/16 -d $UNIVERSE -j DROP
$IPTABLES -A INPUT -i $EXTIF -s 43.255.0.0/16 -d $UNIVERSE -j DROP
...

Onde no acima:

# The location of the iptables program
#
IPTABLES=/sbin/iptables

#Setting the EXTERNAL and INTERNAL interfaces and addresses for the network
#
EXTIF="enp4s0"
INTIF="enp2s0"
EXTIP="...deleted..."
INTNET="192.168.111.0/24"
INTIP="192.168.111.1/32"
UNIVERSE="0.0.0.0/0"

Você pode obter toda a lista de endereços IP da China, ou de qualquer país, no iptables ou em outro formato aqui . No entanto, a lista é surpreendentemente longa e bastante dinâmica. Eu mesmo, decidi não bloquear toda a lista.

Você pode querer instalar algo como o fail2ban para que ele bloqueie ips que tentam efetuar login no seu servidor e falhar.

Bloco China usando o ipset

Você não pode adicionar manualmente alguns milhares de endereços IP ao seu iptables, e até fazê-lo automaticamente é uma má idéia, porque pode causar muita carga de CPU (ou então eu li). Em vez disso, podemos usar o ipset, que é projetado para esse tipo de coisa. ipset lida com grandes listas de endereços IP; você acabou de criar uma lista e então diz ao iptables para usar essa lista em uma regra.

Nota; Eu assumo que a totalidade do seguinte é feito como root. Ajuste de acordo se o seu sistema for baseado em sudo.

apt-get install ipset

Em seguida, eu escrevi um pequeno script Bash para fazer todo o trabalho, que você deve ser capaz de entender a partir dos comentários nele contidos. Crie um arquivo:

nano /etc/block-china.sh

Veja o que você deseja colar:

# Create the ipset list
ipset -N china hash:net

# remove any old list that might exist from previous runs of this script
rm cn.zone

# Pull the latest IP set for China
wget -P . http://www.ipdeny.com/ipblocks/data/countries/cn.zone

# Add each IP address from the downloaded list into the ipset 'china'
for i in $(cat /etc/cn.zone ); do ipset -A china $i; done

# Restore iptables
/sbin/iptables-restore < /etc/iptables.firewall.rules

Salve o arquivo. Torne-o executável:

chmod +x /etc/block-china.sh

Isso não fez nada ainda, mas será em um minuto quando executarmos o script. Primeiro, precisamos adicionar uma regra no iptables que se refere a essa nova lista de ipsets que o script acima define:

nano /etc/iptables.firewall.rules

Adicione a seguinte linha:

-A INPUT -p tcp -m set --match-set china src -j DROP

Salve o arquivo. Para ser claro, meu iptables.firewall.rules completo agora é assim:

*filter

#  Allow all loopback (lo0) traffic and drop all traffic to 127/8 that doesn't use lo0
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/8 -j REJECT

#  Accept all established inbound connections
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Block anything from China
# These rules are pulled from ipset's china list
# The source file is at /etc/cn.zone (which in turn is generated by a shell script at /etc/block-china.sh )
-A INPUT -p tcp -m set --match-set china src -j DROP

#  Allow all outbound traffic - you can modify this to only allow certain traffic
-A OUTPUT -j ACCEPT

#  Allow HTTP and HTTPS connections from anywhere (the normal ports for websites and SSL).
-A INPUT -p tcp --dport 80 -j ACCEPT
-A INPUT -p tcp --dport 443 -j ACCEPT

#  Allow SSH connections
#
#  The -dport number should be the same port number you set in sshd_config
#
-A INPUT -p tcp -m state --state NEW --dport 22 -j ACCEPT

#  Allow ping
-A INPUT -p icmp -j ACCEPT

#  Log iptables denied calls
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

#  Drop all other inbound - default deny unless explicitly allowed policy
-A INPUT -j DROP
-A FORWARD -j DROP

COMMIT

Neste momento, nada mudou com o servidor porque não foram aplicadas novas regras; Para fazer isso, execute o script block-china.sh:

/etc/block-china.sh

Isso deve mostrar alguma saída, já que ela extrai uma nova lista de IPs baseados em chinês e, depois de alguns segundos, ela será concluída e retornará a um prompt de comando.

Para testar se funcionou, execute:

iptables -L

Agora você deve ver uma nova regra bloqueando a China - a saída deve ficar assim:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
REJECT     all  --  anywhere             loopback/8           reject-with icmp-port-unreachable
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
DROP       tcp  --  anywhere             anywhere             match-set china src
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             state NEW tcp dpt:ssh
ACCEPT     icmp --  anywhere             anywhere
LOG        all  --  anywhere             anywhere             limit: avg 5/min burst 5 LOG level debug prefix "iptables denied: "
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere

Quase pronto! Isso funciona e continuará a funcionar na nova versão. Mas, os endereços IP mudam e essa lista se tornará obsoleta com o tempo. Se você quiser extrair e aplicar uma lista atualizada de IPs, basta executar o script block-china.sh novamente.

Também podemos configurar a máquina para fazer isso automaticamente por meio de uma tarefa agendada:

crontab -e

Adicione uma linha como esta:

* 5 * * * /etc/block-china.sh

Isto irá executar /etc/block-china.sh às 5h todos os dias. O usuário que está executando o script precisará ser root ou ter privilégios de root.

source