IPtables + GeoIP - Länder Sperren

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
BreakShirt
Beiträge: 6
Registriert: 09.10.2016 14:48:24

IPtables + GeoIP - Länder Sperren

Beitrag von BreakShirt » 09.10.2016 14:55:08

Hallo Community!
Ich möchte auf meinem vServer gerne nur die Länder DE, AT, CH, US, IT und NO connecten lassen. Ich habe mir hierfür IP-Tables und GeoIP installiert, gemäß des folgenden Tutorials: https://terminal28.com/how-to-block-cou ... es-debian/

Ich habe vorher nach Updates für den Debian 7 gesucht und auch nach der Installation ein Reboot ausgeführt.

Nun möchte ich mit folgendem Befehl die Länder - die ich nicht möchte - sperren:

Code: Alles auswählen

iptables -A INPUT -p udp --dport 25565 -m geoip ! --source-country DE,CH,AT,US,IT,NO -j DROP
iptables -A INPUT -p tcp --dport 25565 -m geoip ! --source-country DE,CH,AT,US,IT,NO -j DROP
iptables -A INPUT -p udp --dport 10011 -m geoip ! --source-country DE,CH,AT,US,IT,NO -j DROP
iptables -A INPUT -p tcp --dport 10011 -m geoip ! --source-country DE,CH,AT,US,IT,NO -j DROP
Wenn ich einen dieser Befehle nun ausführe, bekomme ich diesen Fehler:

Code: Alles auswählen

iptables: No chain/target/match by that name.
Trotz längerem Googlen und dem benutzen FSuFu habe ich keine Anleitung gefunden, die mir helfen kann!


MfG
BreakShirt

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: IPtables + GeoIP - Länder Sperren

Beitrag von MSfree » 09.10.2016 17:18:02

BreakShirt hat geschrieben:Ich möchte auf meinem vServer gerne nur die Länder DE, AT, CH, US, IT und NO connecten lassen....

Code: Alles auswählen

iptables -A INPUT -p udp --dport 25565 -m geoip ! --source-country DE,CH,AT,US,IT,NO -j DROP
...
Und warum versuchst du dann die doppelte Negation zu verwenden?

Statt ! und -j DROP sollte eigentlich auch

Code: Alles auswählen

iptables -A INPUT -p udp --dport 25565 -m geoip --source-country DE,CH,AT,US,IT,NO -j ACCEPT
...
gehen. Ich kenne zwar die Anwendung von GeoIP im Zusammenhang mit iptables nicht, könnte mir aber vorstellen, daß ! hier nicht anwendbar ist.

BreakShirt
Beiträge: 6
Registriert: 09.10.2016 14:48:24

Re: IPtables + GeoIP - Länder Sperren

Beitrag von BreakShirt » 09.10.2016 17:58:59

Hey!
Auch wenn ich das so mache, wie du vorgeschlagen hast, bekomme ich diesen Fehler:

Code: Alles auswählen

iptables: No chain/target/match by that name.
MfG
BreakShirt

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: IPtables + GeoIP - Länder Sperren

Beitrag von dufty2 » 09.10.2016 20:37:13

Probier mal "--src-cc" statt "--source-country".
Kann sein, dass "--source-country" nur bei der Ausgabe von "iptables -L -n -v" erscheint.

BreakShirt
Beiträge: 6
Registriert: 09.10.2016 14:48:24

Re: IPtables + GeoIP - Länder Sperren

Beitrag von BreakShirt » 11.10.2016 14:56:51

Leider immernoch den selben Error.

Das Betriebssystem ist genau: Debian 7.0 amd64

MfG
BreakShirt

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: IPtables + GeoIP - Länder Sperren

Beitrag von MSfree » 11.10.2016 15:47:31

BreakShirt hat geschrieben:Leider immernoch den selben Error.
Hast du das nötige Kernelmodul für die GeoIP-Filterung überhaupt geladen? (siehe Ausgabe von lsmod)
Wenn nicht, dann sollte mit modprobe ipt_geoip das Module geladen werden.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: IPtables + GeoIP - Länder Sperren

Beitrag von dufty2 » 11.10.2016 18:06:31

Mmmh, scheint ein wenig komplizierter zu sein.
Kannst mal nach der Anleitung probieren:
https://schroeffu.ch/2015/01/iptables-l ... lockieren/

BreakShirt
Beiträge: 6
Registriert: 09.10.2016 14:48:24

Re: IPtables + GeoIP - Länder Sperren

Beitrag von BreakShirt » 11.10.2016 19:29:23

MSfree hat geschrieben:
BreakShirt hat geschrieben:Leider immernoch den selben Error.
Hast du das nötige Kernelmodul für die GeoIP-Filterung überhaupt geladen? (siehe Ausgabe von lsmod)
Wenn nicht, dann sollte mit modprobe ipt_geoip das Module geladen werden.
Wenn ich diesen Befehl ausprobiere erhalten ich folgenden Error:

Code: Alles auswählen

libkmod: ERROR ../libkmod/libkmod.c:554 kmod_search_moddep: could not open moddep file '/lib/modules/2.6.32-44-pve/modules.dep.bin'
dufty2 hat geschrieben:Mmmh, scheint ein wenig komplizierter zu sein.
Kannst mal nach der Anleitung probieren:
https://schroeffu.ch/2015/01/iptables-l ... lockieren/
Dieses werde ich mir Morgen mal zu gemüte ziehen. ^^

Benutzeravatar
MSfree
Beiträge: 10686
Registriert: 25.09.2007 19:59:30

Re: IPtables + GeoIP - Länder Sperren

Beitrag von MSfree » 11.10.2016 20:04:28

BreakShirt hat geschrieben:

Code: Alles auswählen

libkmod: ERROR ../libkmod/libkmod.c:554 kmod_search_moddep: could not open moddep file '/lib/modules/2.6.32-44-pve/modules.dep.bin'
OK, wenn das Kernelmodul nicht geladen ist oder geladen werden kann, funktioniert das Blockieren via GeoIP natürlich nicht.

Allerdings finde ich deine Kernelversion etwas eigenartig. Du sagtst, du hast Debian 7 (Wheezy) am Laufen, da wird aber Kernel 3.2.41 eingesetzt. Kernel 2.6.32 wäre Debian 6 (Squeeze). Da ist wohl bei deiner Installation irgendetwas durcheinander geraten.

BreakShirt
Beiträge: 6
Registriert: 09.10.2016 14:48:24

Re: IPtables + GeoIP - Länder Sperren

Beitrag von BreakShirt » 12.10.2016 16:22:34

dufty2 hat geschrieben:Mmmh, scheint ein wenig komplizierter zu sein.
Kannst mal nach der Anleitung probieren:
https://schroeffu.ch/2015/01/iptables-l ... lockieren/
Das Tutorial habe ich mir vor erstellen dieses Themas schon durchgekaut, immernoch der gleiche Fehler.
MSfree hat geschrieben: Allerdings finde ich deine Kernelversion etwas eigenartig. Du sagtst, du hast Debian 7 (Wheezy) am Laufen, da wird aber Kernel 3.2.41 eingesetzt. Kernel 2.6.32 wäre Debian 6 (Squeeze). Da ist wohl bei deiner Installation irgendetwas durcheinander geraten.
So gibt es der Hoster von mir an, installiert ist Debian 7 mit dieser Kernel-Version. Von mir wurden auch keine Änderungen an dem Betriebssystem durchgeführt.

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: IPtables + GeoIP - Länder Sperren

Beitrag von wanne » 13.10.2016 02:04:54

BreakShirt hat geschrieben:So gibt es der Hoster von mir an, installiert ist Debian 7
Nope Installiert ist da vermutlich ein Squeeze. (oder irgend was anderes älteres.) Und zwar von deinem Hoster.
Such dir nen hoster mit vernünftiger Virtalisierung oder verhandel mit dem, dass der dir das entsprechende Modul lädt. Aber mit OpenVZ und co. Kannst DU da nichts machen. Sache von deinem Hoster.
rot: Moderator wanne spricht, default: User wanne spricht.

BreakShirt
Beiträge: 6
Registriert: 09.10.2016 14:48:24

Re: IPtables + GeoIP - Länder Sperren

Beitrag von BreakShirt » 13.10.2016 18:47:07

Gibt es denn irgendeine andere Möglichkeit Länder-IP's zu sperren, sodass nur ausgewähle Länder sich verbinden könne?

MfG

Antworten