উবুন্টু আইপিটিবেলগুলি কেবলমাত্র 1 টি দেশের জন্য অনুমতি দেয়

সুতরাং আমি এমন স্ক্রিপ্টের জন্য নেট ঘুরে দেখছি যা HTTP (80) এবং https (443) পোর্ট ব্যতীত সমস্ত বন্দরে সমস্ত ট্র্যাফিক ফেলে রাখবে এবং তারপরে কেবল x x (যেখানে আমার মধ্যে) থেকে অন্য সমস্ত বন্দরগুলিতে ট্র্যাফিকের অনুমতি দেবে কেস কান্ট্রি মার্কিন যুক্তরাষ্ট্রের)।

আমি প্রতিটি দেশ থেকে সমস্ত আইপি যুক্ত করতে চাই না, আমি কেবল আমার দেশ থেকে আইপিদের অনুমতি দিতে চাই তারপরে বাইরের বিশ্ব থেকে প্রায় সমস্ত অন্যান্য ট্র্যাফিক ব্লক করতে চাই। Ssh, ftp, smtp, ect- এ আমার দেশের বাইরের কারও অ্যাক্সেস থাকা উচিত নয়। আমার ছাড়া অন্য যদি এটি কখনও পরিবর্তিত হয় আমি যখন এটি কাছে আসব তখন আমি এটির জন্য একটি বিশেষ কেস যুক্ত করব।

সাইড নোট

আমি অবশ্যই নোট করব যে আমি এমন একটি প্রশ্ন পেয়েছি যার মধ্যে আইপি টেবিল ব্যবহার করে দেশ দ্বারা আইপি নিষিদ্ধ করার জন্য একটি স্ক্রিপ্ট রয়েছে তবে এটি আমাকে করতে হবে এমন অনেক অতিরিক্ত সন্নিবেশ করানো হয়েছে।

সেরা উত্তর হিসাবে চিহ্নিত স্ক্রিপ্টটি এই আইপিগুলি থেকে সমস্ত ট্র্যাফিক অবরোধ করবে। আমি কেবল 80 এবং 443 ব্যতীত সমস্ত পোর্টে অ্যাক্সেস ব্লক করতে চাই।

হালনাগাদ

নিম্নলিখিত নিয়ম সহ,

iptables -A OUTPUT -m geoip --dst-cc CN -j DROP

আমি কি এটি পরিবর্তন করতে এবং এর মতো কিছু করতে সক্ষম হব?

iptables -A OUTPUT -m geoip --dst-cc CN --dport 80 -j ACCEPT
iptables -A OUTPUT -m geoip --dst-cc CN --dport 443 -j ACCEPT
iptables -A OUTPUT -m geoip --dst-cc CN -j DROP

আমি ধরে নেব যে এটি চীন থেকে আইপিসকে 80 এবং পোর্ট 443 পোর্ট অ্যাক্সেসের অনুমতি দেবে এবং এটি বাকী অংশটি নামবে। এই অনুমান সঠিক হবে? তা না হলে কেন?

আপডেট 2

কিছুটা গোলমাল করার পরে আমি দেখতে পেলাম যে আমার উবুন্টু সংস্করণটি বৈশিষ্ট্যটি পছন্দ করে না --dport। সুতরাং আমরা যারা উবুন্টু ১৪++ চালাচ্ছি তার পরিবর্তে (আমার কাছে কেবল উবুন্টু 14.04, 14.10, এবং কিছু মেশিনে 15.04 ইনস্টল করা আছে) ব্যবহার করতে হবে-p PORT_NUMBER_OR_NAME

যাতে দেখতে হবে

iptables -A OUTPUT -m geoip --dst-cc CN -p 443 -j ACCEPT

অথবা আগত ট্র্যাফিকের জন্য,

iptables -A INPUT -m geoip --src-cc CN -p 443 -j ACCEPT

ভূ-অবস্থানের জন্য আপনাকে iptables সমর্থন যুক্ত করতে হবে। এটি করতে, আপনাকে এই পদক্ষেপগুলি অনুসরণ করতে হবে:

# apt-get install xtables-addons-common
# mkdir /usr/share/xt_geoip
# apt-get install libtext-csv-xs-perl unzip
# /usr/lib/xtables-addons/xt_geoip_dl
# /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv

এটি আপনাকে এ জাতীয় কাজ করতে দেয়:

iptables -A OUTPUT -m geoip --dst-cc CN -j DROP

এটি চীনের (সিএন) যেকোন বিদায়ী ট্র্যাফিক অবরোধ করবে। নিয়মের জটিলতা আপনার উপর নির্ভর করে, মূলত আপনার কোনও স্ক্রিপ্টের দরকার নেই, আপনি যে নিয়ম প্রয়োগ করতে চান সেগুলি লিখে রাখুন এবং তারপরে ব্যবহার করুন iptables-saveযাতে প্রতিবার আপনি রিবুট করার সময় সেগুলি লোড হয়।