Início / ubuntu / Perguntas / 1527604
Accepted
João Pimentel Ferreira
Asked: 2024-09-21 22:21:39 +0800 CST

UFW - permitir solicitações somente de uma determinada região/localidade

  • 772
$ sudo ufw status
Status: active

To                         Action      From
--                         ------      ----
Nginx Full                 ALLOW       Anywhere                  
22/tcp                     ALLOW       Anywhere                  
Nginx Full (v6)            ALLOW       Anywhere (v6)             
22/tcp (v6)                ALLOW       Anywhere (v6)

Como posso permitir solicitações SSH (22/tcp) somente de uma determinada região, país ou continente?

Esta questão não está relacionada a permitir apenas requisições do localhost, por exemplo, porque o IP do locahost já é conhecido. Eu quero algo como ter todos os intervalos de IP de um determinado país em um arquivo de texto e incorporá-los na regra de permissão do ufw.

ssh

1 respostas

  1. Best Answer

    Para adicionar uma lista de bloqueio de IP ao Uncomplicated Fire Wall (UFW), use as seguintes instruções deste script do Gihub, cujo conteúdo é reproduzido abaixo.

    Com todos os agradecimentos a poddmo, autor do UFW-blocklist, que é uma extensão de lista de bloqueio de IP para o Ubuntu ufw.

    INSTALAÇÃO

    Instalar o pacote ipset

    sudo apt install ipset

    Faça backup do script de exemplo ufw after.init original

    sudo cp /etc/ufw/after.init /etc/ufw/after.init.orig

    Instale os arquivos ufw-blocklist

    git clone https://github.com/poddmo/ufw-blocklist.git
cd ufw-blocklist
sudo cp after.init /etc/ufw/after.init
sudo cp ufw-blocklist-ipsum /etc/cron.daily/ufw-blocklist-ipsum
sudo chown root:root /etc/ufw/after.init /etc/cron.daily/ufw-blocklist-ipsum
sudo chmod 750 /etc/ufw/after.init /etc/cron.daily/ufw-blocklist-ipsum

    Baixe uma lista de bloqueio de IP inicial do IPsum

    curl -sS -f --compressed -o ipsum.4.txt 'https://raw.githubusercontent.com/stamparm/ipsum/master/levels/4.txt'
sudo chmod 640 ipsum.4.txt
sudo cp ipsum.4.txt /etc/ipsum.4.txt

    Iniciar ufw-blocklist

    sudo /etc/ufw/after.init start

    NOTA: Leva tempo para carregar as entradas da lista de bloqueio no ipset. Observe o progresso com:

    sudo ipset list ufw-blocklist-ipsum -terse | grep 'Number of entries'

    USO

    A lista de bloqueio é iniciada e parada automaticamente pelo ufw usando as opções enable, disable e reload. Página wiki do Ubuntu UFW

    Existem 2 comandos adicionais after.init disponíveis: status e flush-all

    • A opção status mostra a contagem de entradas na lista de bloqueio, a contagem de acertos de pacotes que foram bloqueados e as últimas 10 entradas de log. A opção status é explicada mais detalhadamente na seção Status abaixo.
    • A opção flush-all exclui todas as entradas na lista de bloqueio e zera os contadores de acessos do iptables:

    sudo /etc/ufw/after.init flush-all

    A partir deste estado, você pode adicionar manualmente endereços IP à lista assim:

    sudo ipset add ufw-blocklist-ipsum a.b.c.d

    Isso é útil para testes. Use /etc/cron.daily/ufw-blocklist-ipsumpara baixar a lista mais recente e restaurar completamente a blocklist.

    STATUS

    Chamar after.initcom a opção status exibe a contagem atual das entradas na lista de bloqueio, as contagens de acertos nas regras do firewall (a coluna 1 é acertos, a coluna 2 é bytes) e as últimas 10 mensagens de log. Um exemplo de saída pode ser visto no post da extensão do Github vinculado.

    Outras referências:

    Bloqueio geográfico
    Bloqueio de países
    Intervalos de endereços IP por país

    • 2

relate perguntas