UFW приоритет правил?

[mih3y]

Всем привет.

В каком порядке UFW правила прочитывает? проблема в том что у меня есть два правила.
Первое блочит ип 55.55.55.55
Второе разрешает подключение откуда угодно к порту 9999.

И в итоге поулчается что ип 55.55.55.55 тоже может использовать порт 9999. А это не нужно!
Как указать важность правил? или я что то не так делаю?

И второй вопрос по UFW - есть хороший способ все ип из одной страны забанитЬ?

Спасибо

[golota]

В каком порядке UFW правила прочитывает? проблема в том что у меня есть два правила.

Порядок такой - mangle nat filter
Выполнся первое правило удовлетворяющее критерии

И второй вопрос по UFW - есть хороший способ все ип из одной страны забанитЬ?

Я не знаю, какая у вас Ubuntu 
Можно попробовать -
sudo apt-get install xtables-addons-dkms
если всё пройдёт без ошибок

то например - sudo iptables -I INPUT -m geoip --src-cc US -j DROP
и прощай доступ на ваш сервер США 

[mih3y]

В каком порядке UFW правила прочитывает? проблема в том что у меня есть два правила.

Порядок такой - mangle nat filter
Выполнся первое правило удовлетворяющее критерии

И второй вопрос по UFW - есть хороший способ все ип из одной страны забанитЬ?

Я не знаю, какая у вас Ubuntu 
Можно попробовать -
sudo apt-get install xtables-addons-dkms
если всё пройдёт без ошибок

то например - sudo iptables -I INPUT -m geoip --src-cc US -j DROP
и прощай доступ на ваш сервер США 

Спасибо! у меня 12.04 lts.

поставилось без ошибок. но

Код: [Выделить]

sudo iptables -I INPUT -m geoip --src-cc US -j DROP
iptables: Memory allocation problem.
Буду благодарен за помощь!

[golota]

В этом случае, я бессилен 
Судя по всему, ето ограничения ядра.
У вас 32 или 64 бита система ?
 
Попробуйте блокировать страну поменьше
для US, это больше 8000 правил iptables !
Например EE - 229 правил,
sudo iptables -I INPUT -m geoip --src-cc EE -j DROP
Интересно, что будет ...
Количество правил для стран -

(Нажмите, чтобы показать/скрыть)

1 BL
1 CC
1 CX
1 GS
1 PN
1 SJ
1 TF
2 CK
2 ER
2 FM
2 SH
2 ST
2 TK
2 TV
3 ET
3 IO
3 KI
3 KM
3 MH
3 NF
3 NR
3 NU
3 TL
3 UM
3 WF
4 AQ
4 GW
4 PW
4 SS
4 TM
5 AI
5 CF
5 GL
5 KP
5 MS
5 SX
6 FK
6 PM
6 TD
6 TG
7 AD
7 CV
7 GQ
7 MP
7 SB
7 TO
8 DJ
8 GY
9 BQ
9 MF
9 SR
10 BI
10 BT
10 FO
10 NE
10 SM
11 DM
11 MV
11 SO
11 TC
11 TN
12 AS
12 AW
12 AX
12 GM
12 ML
12 MM
12 MR
12 PF
12 SN
12 VU
12 YE
12 YT
13 LC
14 SZ
14 WS
15 MC
16 BF
16 CG
16 LY
17 CU
17 MO
18 BJ
18 LA
18 LR
18 RW
19 BN
19 HT
20 SL
21 FJ
23 KY
23 MG
23 TJ
23 VG
24 CI
25 BS
25 VA
26 GA
26 GD
26 GG
26 LS
26 MW
26 SD
27 BZ
27 QA
28 NC
29 OM
29 TT
31 GI
31 GN
31 MA
32 BW
32 NA
33 KN
34 GU
34 IM
34 JE
35 ME
36 BM
36 GF
36 UY
36 VC
36 VI
37 CD
38 MZ
40 AG
40 CM
40 PG
40 PY
40 SC
40 ZM
42 LK
43 DZ
45 LI
46 CW
46 ZW
47 JM
47 NI
47 SY
47 UG
52 NP
53 MN
55 BH
57 AO
57 MU
58 DO
58 UZ
60 BO
60 KG
63 AF
64 SV
71 MT
74 AL
76 MK
82 GH
82 PS
82 TZ
84 KH
85 BB
85 BY
88 AZ
88 IS
93 AM
94 A1
95 JO
96 IQ
105 AE
106 GT
109 PE
115 GE
115 HN
116 LB
118 BA
132 MQ
137 KW
144 KE
145 EG
147 CY
155 CR
158 GP
159 EC
164 BR
166 MX
169 MD
178 LU
183 PK
185 KZ
185 PR
187 PA
194 HR
196 RE
198 VE
216 AP
229 EE
234 LT
242 VN
244 BD
259 RS
286 SK
291 NG
302 SA
306 PT
314 LV
316 GR
319 CL
325 PH
329 TH
334 CO
334 MY
339 TW
365 A2
381 IL
382 SI
403 IR
409 HU
474 ZA
519 IE
533 BG
539 NZ
558 TR
656 AR
680 KR
687 FI
712 SG
754 BE
790 DK
837 NO
859 ID
893 CZ
1049 HK
1058 AT
1185 RO
1258 ES
1313 IN
1399 CH
1763 JP
1776 IT
1802 SE
2136 EU
2185 CN
2537 UA
2606 NL
2739 PL
2945 AU
2988 CA
3095 FR
4810 DE
5414 RU
6340 GB
8383 US

[mih3y]

В этом случае, я бессилен 
Судя по всему, ето ограничения ядра.
У вас 32 или 64 бита система ?
 
Попробуйте блокировать страну поменьше
для US, это больше 8000 правил iptables !
LV - 314
LT - 234
EE - 229 правил, начнём с меньшего
sudo iptables -I INPUT -m geoip --src-cc EE -j DROP
Интересно, что будет ...

64 БИТ.

тоже самое с ЕЕ.

нашел вот такое в гугле http://forum.parallels.com/showthread.php?54536-iptables-Memory-allocation-problem

Но никак не могу понять где это в убунте найти?

[golota]

Судя по /proc/user_beancounters
Это неизвестная мне система с неизвестным ядром.

Нам явно не подходит 

[mih3y]

Судя по /proc/user_beancounters
Это неизвестная мне система с неизвестным ядром.

Нам явно не подходит 

эхх чертовщина.не вручную же в iptables всё вписывать )

[golota]

Зачем вручную, можно скриптики написать.
Данные доступны и и обновляются -
В формате CVS
В формате SQL

[mih3y]

Зачем вручную, можно скриптики написать.
Данные доступны и и обновляются -
В формате CVS
В формате SQL

Боюсь, для скриптиков моего ума не хватит. можно где пример глянуть?

и от такого количества данных Iptables не повесится? CN+USA например?

[golota]

Например,

Качаем Geo IP Country в формате CSV
unzip GeoIPCountryCSV.zip

а потом - awk -F\" '/"EE"/ {print "--src-range "$2 "-" $4 " -j DROP"}' GeoIPCountryWhois.csv

EE заменяем на нужный country code, а перед --src-range ставим нужное заклинание iptables
-j DROP, тоже меняем по вкусу.

На счёт, повесится-ли от CN+USA - это вы экспериментально установите 

[mih3y]

Например,

Качаем Geo IP Country в формате CSV
unzip GeoIPCountryCSV.zip

а потом - awk -F\" '/"EE"/ {print "--src-range "$2 "-" $4 " -j DROP"}' GeoIPCountryWhois.csv

EE заменяем на нужный country code, а перед --src-range ставим нужное заклинание iptables
-j DROP, тоже меняем по вкусу.

На счёт, повесится-ли от CN+USA - это вы экспериментально установите 

Если я сильно туплю прошу простить!
попробовал так чтоб увидеть выведет ли список нужных мне ИП

Код: [Выделить]

awk -F\" '/"EE"/ {print "--src-range "$2 "-" $4 " -j DROP"}' GeoIPCountryWhois.csvВсе вывелось

теперь попробовал так

Код: [Выделить]

awk -F\" '/"EE"/ {print "iptables - I INPUT --src-range "$2 "-" $4 " -j DROP"}'
GeoIPCountryWhois.csv

Код: [Выделить]

awk -F\" '/"EE"/ {iptables - I INPUT --src-range "$2 "-" $4 " -j DROP}' GeoIPCountryWhois.csv
Никакой ощибки не вывело, но доступ с Эстонии все равно есть? iptables не изменился, Что я делаю не так?
 

[golota]

Так ничего и не должно было произойти ...
Вы просто сгенерировали скрипт iptables, который теперь надо выполнить...
Сделайте -
awk -F\" '/"EE"/ {print "iptables -I INPUT --src-range "$2 "-" $4 " -j DROP"}' GeoIPCountryWhois.csv > EE.drop
chmod 755 EE.drop
sudo ./EE.drop

Опять-же поправьте "- I INPUT" на "-I INPUT" (между - и I уберите пробел)

[mih3y]

Так ничего и не должно было произойти ...
Вы просто сгенерировали скрипт iptables, который теперь надо выполнить...
Сделайте -
awk -F\" '/"EE"/ {print "iptables -I INPUT --src-range "$2 "-" $4 " -j DROP"}' GeoIPCountryWhois.csv > EE.drop
chmod 755 EE.drop
sudo ./EE.drop

Опять-же поправьте "- I INPUT" на "-I INPUT" (между - и I уберите пробел)

Спасибо! Пришлось добавить -m iprange перед --src-range и заработало.


Китай забанить удалось. а вот с HK(Хонг Конг) проблемы. все равно получают от туда доступ на сервер.

Еще раз спасибо огромное!

[golota]

Китай забанить удалось. а вот с HK(Хонг Конг) проблемы. все равно получают от туда доступ на сервер.

Уже обзавидовался    Что-ж за сервер такой, что на него все кидаются как бешенные.

И не понял причину проблем с HK

[mih3y]

Китай забанить удалось. а вот с HK(Хонг Конг) проблемы. все равно получают от туда доступ на сервер.

Уже обзавидовался    Что-ж за сервер такой, что на него все кидаются как бешенные.

И не понял причину проблем с HK

Игровой сервер. Порты всем известны, ломятся вечно из китая. Fail2ban их банит. но я вообще не хочу чтоб у них был доступ. ресурс строго русскоязычный.

Проблеа вот такая. доступ к серверу до и после проверял вот тут http://www.websitepulse.com/help/testtools.china-test.html

после добавления зон CN Доступ из
Shanghai, China
Beijing , China
Guangzhou, China

был заблокирован.

Но остался доступ из Hong Kong, China. и после добавления зоны HK Ниче не поменялось, доступ все еще открыт.