Como instalar xtables-addons y geotables para controlar p2p en centos 6.5 / how to install xtables-addons and geotables to p2p control in centos 6.5
OS: Centos x64 6.5
Kernel: 2.6.32-431.29.2.el6.x86_64
xtables-addons version1.47.1 (la última para los kernels de la rama 2.6.xxx)
Bueno como recuerdan hace algunos años coloque un manual de como instalar xtables-addons para controlar el tráfico p2p usando los repos CentALT de los rusos, al parecer los repos estan desactivados (el proyecto necesita apoyo $$ segun leia).
http://www.ecualug.org/?q=2012/06/08/comos/como_instalar_ipp2p_en_centos_62_how_install_ipp2p_centos_6
luego de lo cual amablemente nuestros amigos de ecualinux (epe) hicieron los cambios respectivos para crear un rpm independiente de la plataforma.
http://www.ecualinux.com/rpm-y-repo-yum-para-control-de-p2p-en-centos-6/
pero al parecer esta tambien down, y lo tienen desactualizado (v1.45)
http://anku6.ecualinux.com/20/x86_64/anku-release-8-1.noarch.rpm
Not Found
The requested URL /20/x86_64/anku-release-8-1.noarch.rpm was not found on this server.
Asi que me dije manos a la obra y buscando x inet me encontre con este script que no es de mi autoria, pero al cual le hice algunos cambios pequeños para que funcione perfectamente en nuestro centos.
Este script nos permite la instalacion de xtables-addons para iptables mas la instalacion del modulo geotables y su posterior actualizacion.
Como saben las extensiones de xtables-addons se encapsulan en modulos independientes, que ya no parchan directamente el codigo de iptables, por lo que no es necesario recompilar ni iptables ni el nucleo por lo tanto tampoco es necesario el reinicio de los equipos (algo básico para nuestros servers en producccion).
Lo primero sería descargar los archivos adjuntos aca mismo llamados :
xt_geoip_build.txt
geotables.txt
(esto por restricciones de este site de subir .zip .sh etc.etc...) 0j0 al Admin
y renombrarlos por
xt_geoip_build
geotables.sh
luego al archivo geotables.sh dar los permisos de ejecucion respectivos con:
chmod 755 /ruta/geotables.sh
Al ejecutar el script siempre deben estar los dos archivos juntos en la misma carpeta
Script descripcion:
En la 1era parte del script se agrega el repo RPMForge
luego instala las respectivas dependencias:
gcc gcc-c++ make automake unzip zip xz kernel-devel iptables-devel wget perl-Text-CSV_XS
luego se procede a la descarga, instalacion y compilacion de xtables-addons desde los fuentes
EN la 2da parte instala la parte del geoip descargando las db y actualizando las mismas.
Modo de uso:
/ruta/geotables.sh -i ===> Instala Xtables-Addons
/ruta/geotables.sh -u ===> Actualiza los GeoIP Data Files
/ruta/geotables.sh -h ===> Nos muestra una pequeña ayuda.
Listo una vez instalado, probamos con
iptables -m ipp2p --help
en la ultima parte deberá mostrarles algo asi:
ipp2p v0.10 match options:
--edk [tcp,udp] All known eDonkey/eMule/Overnet packets
--dc [tcp] All known Direct Connect packets
--kazaa [tcp,udp] All known KaZaA packets
--gnu [tcp,udp] All known Gnutella packets
--bit [tcp,udp] All known BitTorrent packets
--apple [tcp] All known AppleJuice packets
--winmx [tcp] All known WinMX
--soul [tcp] All known SoulSeek
--ares [tcp] All known Ares
EXPERIMENTAL protocols:
--mute [tcp] All known Mute packets
--waste [tcp] All known Waste packets
--xdcc [tcp] All known XDCC packets (only xdcc login)
Si les sale esto es x q todo esta correcto.
Luego si a usarlo en nuestro script de iptables colocamos
iptables -I INPUT -m ipp2p --kazaa --edk --gnu --dc --bit --apple --winmx --soul --ares -j DROP
iptables -I OUTPUT -m ipp2p --kazaa --edk --gnu --dc --bit --apple --winmx --soul --ares -j DROP
iptables -I FORWARD -m ipp2p --kazaa --edk --gnu --dc --bit --apple --winmx --soul --ares -j DROP
para probar geoip con
iptables -I INPUT -m geoip --src-cc CN -j DROP
no debería dar ningun error, aca algunos ejemplos de utilizacion:
iptables -A INPUT -m state --state NEW -m geoip --src-cc GB,IE -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -m geoip --src-cc GB,IE -j DROP
El poder que nos brinda este modulo es poderoso asi q con esto adios a los spamerss chinos, rusos jeje
Es todo funciona perfectamente, lo he instalado personalmente en dos VM's de centos en produccion, x cierto tambien funciona para debiany para Ubuntu!! para los seguidores de esa distro
Thnx to:
Copyright (C) 2013-2014 Michael Wright (Geotables.sh) https://github.com/themightyshiv el autor
Copyright (C) 2008-2011 Jan Engelhardt (xt_geoip_build)
Links:
http://sourceforge.net/projects/xtables-addons
http://xtables-addons.sourceforge.net/
http://blog.centralserv.co.uk/centos-redhat-6-5-xtables-addons-installation-puppet-xtables-addons/
http://www.howtoforge.com/xtables-addons-on-centos-6-and-iptables-geoip-filtering#comment-34913
http://terminal28.com/how-to-block-countries-using-iptables-debian/
screenshots:
| Adjunto | Tamaño |
|---|---|
 geotables.txt | 4.9 KB |
| xt_geoip_build.txt | 3.3 KB |
 geoip.png | 12.08 KB |
| geoip1.png | 59.3 KB |
| geoip2.png | 101.96 KB |
