mohammed

شرح تمكين دول فقط للولوج للخادم عبر Iptables

Recommended Posts

mohammed    4

هو ملف مألف من مجموعة من قواعد iptables أستعمله في الأساس لخوادم Voip لإستعمالها في نفس الدولة وترك الدول الأخري خارج الوصول للمنافذ الخادم، وهو في الكثير من الأحيان غلق 98% من طلبات الوصول لمنفذ Asterisk مثلا.

ما يجب تغيره ،

  • رمز البدل
  • رقم منفذ ssh
  • اذا وجدت خوادم المراقبة تغيرها بخوادم ovh
  • في آخر الملف تغير رقم الابي المصرح لها او الشبكة
#!/bin/bash

#البلدان المصرح لها
ISO="es ma"

### PATH ###
IPT=/sbin/iptables
WGET=/usr/bin/wget
EGREP=/bin/egrep


### مجلد الحفض ومكان اخذ المعلومات ###
ZONEROOT="/tmp/iptables"
DLROOT="http://www.ipdeny.com/ipblocks/data/countries"

# انشاء المجلد
[ ! -d $ZONEROOT ] && /bin/mkdir -p $ZONEROOT

# حذف واسترجاع القواعد العامة
iptables -F
iptables -X
iptables -Z

# اضافة قاعدة الغلق
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# فتح منفذ ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# ترك ping متاح
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# ESTABLISHED
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#خوادم المراقبة
$IPT -A INPUT -i eth0 -p icmp --source proxy.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.p19.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.rbx.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source proxy.rbx2.ovh.net -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source aaa.bbb.ccc.250 -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source aaa.bbb.ccc.251 -j ACCEPT
$IPT -A INPUT -i eth0 -p icmp --source ping.ovh.net -j ACCEPT

for c  in $ISO

do
        # ملف الدولة
        tDB=$ZONEROOT/$c.zone

        # تحميل الملف
        $WGET -O $tDB $DLROOT/$c.zone

        # country specific log message
        BLACKDROPMSG="$c Country Accept"

        # get
        BADIPS=$(egrep -v "^#|^$" $tDB)
        for ipblock in $BADIPS
        do
           $IPT -A INPUT -s $ipblock -j ACCEPT
        done
done

$IPT -A INPUT -s 127.0.0.1 -j ACCEPT
$IPT -A INPUT -s 54.171.127.192/26 -j ACCEPT

 

شارك هذه المشاركه


رابط المشاركه
شارك

انشئ حساب جديد او قم بتسجيل دخولك لتتمكن من اضافه تعليق جديد

يجب ان تكون عضوا لدينا لتتمكن من التعليق

انشئ حساب جديد

سجل حسابك الجديد لدينا في الموقع بمنتهي السهوله .

سجل حساب جديد

تسجيل دخول

هل تمتلك حساب بالفعل ؟ سجل دخولك من هنا.

سجل دخولك الان