Как разрешить только трафик рунета через iptables

[nikolay00]

Подскажите как сделать с помощью iptables так чтобы сервер принимал соединения только от русских подсетей?

[sash-kan]

nikolay00
для начала предлагаю определиться с термином "русские подсети".

[nikolay00]

я имею ввиду русские ip

[allez]

А теперь давайте определимся с термином "русские ip".

[keir]

Русские ip - это которые не имеют вида ххх.ххх.слющай.да
Извините, не удержался

[WarlorD]

русские IP это те IP которые русскими цифрами написаны видать А те, что европейским вариантом арабских цифр. то не те, их все запретить.
Ну а вообще если серьезно, то видимо имеется ввиду некий список сетей, обозначенный RIPE как российские. НУ просто сделать -P DROP и- j ACCEPT на эти сети.

[sash-kan]

обозначенный RIPE как российские

↑

хм. и где же это обозначено?
вопрос без подковырки. мне действительно интересно — откуда, из каких источников можно достоверно и актуально узнать, где именно (географически) развернута та или иная сеть.
из информации о регистранте в ripe-db можно почерпнуть только адрес самого регистранта. и то — в очень произвольной форме.

[nikolay00]

вот например: http://noc.masterhost.ru/allrunet/runet
как имея этот список создать правило чтобы трафик принимался только от этих сетей?

[Георгий]

Не знаю как, но деление на русский и зарубежный трафик есть. Периодически вижу в нете. Раньше сидел на тарифе в котором, плата за отечественный и зарубежный трафик различалась и был даже определитель.(Форма в личном кабинете.Вбиваешь нажимаешь "Ввод" и он тебе пишет какой трафик.)

[Mixer[MsK]]

Не знаю как, но деление на русский и зарубежный трафик есть. Периодически вижу в нете. Раньше сидел на тарифе в котором, плата за отечественный и зарубежный трафик различалась и был даже определитель.(Форма в личном кабинете.Вбиваешь нажимаешь "Ввод" и он тебе пишет какой трафик.)

Единственный вариант который я вижу - через хуиз. Там есть графа country. Соответственно если моя идея верна - пишется парсер и прикручивается к фаерволу

[xorader]

У каждого провайдера свои "русские и региональные" сети - всё зависит от договорённостей и прочими откатно-политическими отношениями твоего аплинка (ну или тебя самого).

[nikolay00]

как прикрутить тот список который я выложил выше к iptables?

[serzh-z]

Уже даже опасаюсь предлагать,.. но можно написать скрипт, который читает список и добавляет каждый адрес в виде правила iptables. Либо вручную указать в SuSE Firewall.

[rolano]

http://www.completewhois.com/statistics/da...ountry/rirstats - берите чего надо

[snake]

http://www.completewhois.com/statistics/da...ountry/rirstats - берите чего надо

Forbidden, однако...

[rolano]

Ну возьмите только http://www.completewhois.com - а дальше сами ищите где чего есть: я скачивал там файлики, просто отбросил имя файла и запостил сюда. Сорри, если по Вашему мнению это неправильно.

[stannum]

как прикрутить тот список который я выложил выше к iptables?

сохрани список в файл /etc/rusnet
Создай файл /etc/init.d/firewall примерно с таким содержанием(извините но в башскриптинге пока не сильно рублю):

Код: Выделить всё

#!/bin/bash
for ((i=1;i<=1595;(i=i+1)))
do
    iptables -P FORWARD REJECT
    iptables -A FORWARD -s $(head -n $i /etc/rusnet |tail -n 1) -m state --state RELATED,ESTABLISHED -j ACCEPT
    iptables -A FORWARD -d $(head -n $i /etc/rusnet |tail -n 1) -j ACCEPT
done

и выполняй его при загрузке.

[sash-kan]

извините но в башскриптинге пока не сильно рублю

↑

извиняем.
не то чтобы он в корне был неработоспособен...
но, nikolay00, в таком виде этот скрипт лучше не употреблять.