Geo-IP в iptables [РЕШЕНО]

Здравствуйте товарищи!
В связи с участившимися атаками на мой сервер я решил использовать geoip в iptables. За эту задачу отвечает модуль xt_geoip из пакета xtables-addons, но проблема в том что при написании правила вылазит ошибка:

# iptables -A INPUT -m geoip ! --src-cc RU,SU,UA,BY -j DROP
Could not open /usr/share/xt_geoip/LE/RU.iv0: No such file or directory
iptables v1.4.6: Could not read geoip database

Я искал решение в интернете, но увы никто не знает как эта проблема решается на генте. Единственное что я нашел так это старое руководство как накладывать патчи patch-o-matic на убунту.
Если кто то уже пользовался подобными инструментами, подскажите как решить эту проблему.
Заранее благодарен.

emerge

emerge net-firewall/xtables-addons

Ну мобыть это?

dev-libs/geoip

Установлен. Так же пробовал

Установлен. Так же пробовал сделать по этой инструкции: http://people.netfilter.org/peejix/geoip/howto/geoip-HOWTO-2.html
Результат одинаковый...

Если ничего не помогает, прочти наконец инструкцию...

У меня тоже не идёт

Вот же, аж самому инересно стало :D

:)

Тоже интересно стало :)
Вот цитата
"NOTE: If you had to change the database path into libipt_geoip.c, you MUST do it before compiling."
Проверяли - пути верные в libipt_geoip.c?

я ставил xtables-addons из

я ставил xtables-addons из репозитария, как и все другие пакеты, никакими ручными компиляциями не занимался.

Если ничего не помогает, прочти наконец инструкцию...

Ага, значит так. # mkdir -p

Ага, значит так.

# mkdir -p /usr/share/xt_geoip/LE
# cd /usr/share/xt_geoip/LE
# /lib/xtables-addons/geoip_download.sh
# /lib/xtables-addons/geoip_build_db.pl ./GeoIPCountryWhois.csv

А потом к примеру для кетая и соседей

# iptables -N GEOIP_REJECT
# iptables -I GEOIP_REJECT -m geoip --src-cc CN -j REJECT
# iptables -I GEOIP_REJECT -m geoip --src-cc KR -j REJECT
# iptables -I GEOIP_REJECT -m geoip --src-cc KP -j REJECT
# iptables -I GEOIP_REJECT -m geoip --src-cc TW -j REJECT
# iptables -A INPUT -j GEOIP_REJECT

Вроде так.

Спасибо огромное!!! Все

Спасибо огромное!!! Все работает отлично!

Если ничего не помогает, прочти наконец инструкцию...

у меня не поставился

у меня не поставился xtables-addons 1.28-r1 (iptables 1.4.6, kernel 2.6.36-r5).
ошибка при собирании - "xt_ipp2p.o"

/var/tmp/portage/net-firewall/xtables-addons-1.28-r1/work/xtables-addons-1.28/extensions/xt_SYSRQ.c: In function ‘sysrq_tg’:
/var/tmp/portage/net-firewall/xtables-addons-1.28-r1/work/xtables-addons-1.28/extensions/xt_SYSRQ.c:156: error: too many arguments to function ‘handle_sysrq’
make[2]: *** [/var/tmp/portage/net-firewall/xtables-addons-1.28-r1/work/xtables-addons-1.28/extensions/xt_SYSRQ.o] Error 1
make[2]: *** Waiting for unfinished jobs....
/var/tmp/portage/net-firewall/xtables-addons-1.28-r1/work/xtables-addons-1.28/extensions/xt_TEE.c: In function ‘tee_tg_route4’:
/var/tmp/portage/net-firewall/xtables-addons-1.28-r1/work/xtables-addons-1.28/extensions/xt_TEE.c:54: error: ‘struct rtable’ has no member named ‘u’
/var/tmp/portage/net-firewall/xtables-addons-1.28-r1/work/xtables-addons-1.28/extensions/xt_TEE.c:55: error: ‘struct rtable’ has no member named ‘u’
make[2]: *** [/var/tmp/portage/net-firewall/xtables-addons-1.28-r1/work/xtables-addons-1.28/extensions/xt_TEE.o] Error 1
make[1]: *** [_module_/var/tmp/portage/net-firewall/xtables-addons-1.28-r1/work/xtables-addons-1.28/extensions] Error 2

пока гуглю, но что то не нахожу решения..
видел, на багзиле один человек писал, что мол модуль ipp2p не корректно работает с iptables 1.4.6,.. но решения там не было..

спасибо

----------------

в принципе я хотел сделать так, как в этой статье человек сделал.. отсеять китай, тайвань, корею и т.п, чтобы уменьшить хоть на немног трафик... поэтому как я понял, мне нужен лишь geoip аддон в xtables-addons ?
я сделал так:

XTABLES_ADDONS="geoip" emerge -av xtables-addons

я так понимаю мне хватит этого (т.к. скомпилилась версия 1.28 аддонов)

Какова версия linux-headers?

Стоит размаскировать, если сие не сделано ранее...
Да, и net-firewall/iptables, sys-apps/iproute2 тоже, раз уж
взяли на себя смелость пользовать тестовое ведро :)
P.S: да, и по моему скромному мнениюу, использовать "rugged air-defense" aka "дропание" прилетающих из
тырнета пакетов - не совсем обдуманное решение. В net-firewall/xtables-addons есть модуль fuzzy.
Как мне сдаётся - прекрасное "резюме" для данного поддтипа задачек.
А вообще, мне шибко интересно, кто какими "палками и подпорками" пользуется? :D

...

Спасибо за ответ.

Гляну в сторону fuzzy, даже не знаю что это за addon....
По поводу "тестового ведра", юзаю лишь стабильные верси, версии из дерева портриджей.. и iptables и iproute2...

По поводу использования.. у нас трафик на сервере основная статья расходов.. иногда от китайцев и тому подобных вижу по 50-100Мб в день.. иногда больше.. соответственно, хотелось бы тут немного ограничить..
Так же частяком пытаются ломать сервер оттуда, вижу по fali2ban..

Поэтому если это сделать не сложно, то почему бы не сделать.
Если конечно нет каких нибудь особых подводных камней или особенностей...

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".