mohammed

تمكين دول فقط للولوج للخادم عبر Iptables

Recommended Posts

هو ملف مألف من مجموعة من قواعد iptables أستعمله في الأساس لخوادم Voip لإستعمالها في نفس الدولة وترك الدول الأخري خارج الوصول للمنافذ الخادم، وهو في الكثير من الأحيان غلق 98% من طلبات الوصول لمنفذ Asterisk مثلا.

ما يجب تغيره ،

  • رمز البدل
  • رقم منفذ ssh
  • اذا وجدت خوادم المراقبة تغيرها بخوادم ovh
  • في آخر الملف تغير رقم الابي المصرح لها او الشبكة
#!/bin/bash

#البلدان المصرح لها
ISO="es ma"

### PATH ###
IPT=/sbin/iptables
WGET=/usr/bin/wget
EGREP=/bin/egrep


### مجلد الحفض ومكان اخذ المعلومات ###
ZONEROOT="/tmp/iptables"
DLROOT="http://www.ipdeny.com/ipblocks/data/countries"

# انشاء المجلد
[ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT

# حذف واسترجاع القواعد العامة
iptables -F
iptables -X
iptables -Z

# اضافة قاعدة الغلق
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# فتح منفذ ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# ترك ping متاح
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# ESTABLISHED
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#خوادم المراقبة
$IPT -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.rbx2.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source aaa.bbb.ccc.250 -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source aaa.bbb.ccc.251 -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT

for c  in $ISO

do
        # ملف الدولة
        tDB=$ZONEROOT/$c.zone

        # تحميل الملف
        $WGET -O $tDB $DLROOT/$c.zone

        # country specific log message
        BLACKDROPMSG="$c Country Accept"

        # get
        BADIPS=$(egrep -v "^#|^$" $tDB)
        for ipblock in $BADIPS
        do
           $IPT -A INPUT -s $ipblock -j ACCEPT
        done
done

$IPT -A INPUT -s 127.0.0.1 -j ACCEPT
$IPT -A INPUT -s 54.171.127.192/26 -j ACCEPT

 

شارك هذه المشاركه


رابط المشاركه
شارك

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

زوار
اضف رد علي هذا الموضوع....

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.