Юникс и другие » Network

Установка nginx, php5 CGI и MySQL

boombick — Tue, 18 Aug 2009 13:40:19 +0000

Nginx (произносится как “энджин икс”) – это легкий высокопроизводительный веб-сервер с открытым исходным кодом. Он известен своей стабильностью, большим набором функций, сравнительной простотой конфигурации, а также весьма низкой требовательностью к ресурсам. В этой статье я опишу процесс установки nginx, PHP5 в CGI-режиме и MySQL на Debian Lenny.

В нашем примере установка будет производится на сервер с доменным именем server1.example.com и IP-адресом 192.168.1.100

Установка MySQL 5.0

aptitude install mysql-server mysql-client

В процессе установки вас попросят ввести пароль для пользователя root. Этот пользователь не имеет ничего общего с системным пользователем root. Этот пароль будет использован для пользователя, обладающего суперпривелегиями для самой MySQL:

New password for the MySQL "root" user: <-- yourrootsqlpassword
Repeat password for the MySQL "root" user: <-- yourrootsqlpassword

Установка Nginx
Nginx есть в репозитории Debian, что существенно упрощает нашу задачу :)
Установим и запустим его:

aptitude install nginx
/etc/init.d/nginx start

Наберите в браузере IP-адрес или хостнейм сервера (например http://192.168.0.100) и вы увидите стартовую страницу nginx

Установка PHP5
Для “общения” между nginx и PHP мы будем использовать FastCGI. К счастью, в репозиториях Debian есть пакет, обеспечиващий поддержку FCGI в PHP. Установим PHP

aptitude install php5-cgi php5-mysql php5-curl php5-gd php5-idn php-pear php5-imagick php5-imap php5-mcrypt php5-memcache php5-mhash php5-ming php5-pspell php5-recode php5-snmp php5-sqlite php5-tidy php5-xmlrpc php5-xsl

Отредактируйте файл /etc/php5/cgi/php.ini добавив в его конец следующую строку:

cgi.fix_pathinfo = 1

В Debian нет самостоятельного приложения для FastCGI, поэтому мы воспользуемся spawn-fcgi, которая входит в состав lighttpd:

aptitude install lighttpd

И после установки получим сразу же получим ошибку:

Starting web server: lighttpd2009-03-19 15:58:09: (network.c.300) can't bind to port: 80 Address already in use
 failed!

Логично, 80-й порт у нас занят nginx-ом. Поэтому сделаем так, чтобы Лайти не запускался при загрузке системы:

update-rc.d -f lighttpd remove

Мы установили Лайти только для того, чтобы воспользовать крайне полезной для наших целей программой, идущей с ним в комплекте: /usr/bin/spawn-fcgi, именно ее мы будем использовать для запуска процессов FastCGI. Для краткого ознакомления с ее возможностями выполните команду

spawn-fcgi –help

Для запуска PHP FastCGI-демона на 9000 порту на сервере localhost от пользователя www-data выполните

/usr/bin/spawn-fcgi -a 127.0.0.1 -p 9000 -u www-data -g www-data -f /usr/bin/php5-cgi -P /var/run/fastcgi-php.pid

И чтобы каждый раз не приходилось вводить это вручную, команду можно прописать в /etc/rc.local

Настройка Nginx
Конфигурационный файл nginx расположен здесь: /etc/nginx/nginx.conf. Для начала (необязательно) увеличим количество рабочих процессов и поменяем параметр keepalive_timeout:

[...]
worker_processes  5;
[...]
    keepalive_timeout   2;
[...]

Настройки виртуальных хостов расположены в секции server {}, хост по умолчанию описан в /etc/nginx/sites-available/default, модифицируйте его следующим образом:

[...]
server {
        listen   80;
        server_name  _;

        access_log  /var/log/nginx/localhost.access.log;

        location / {
                root   /var/www/nginx-default;
                index  index.php index.html index.htm;
        }

        location /doc {
                root   /usr/share;
                autoindex on;
                allow 127.0.0.1;
                deny all;
        }

        location /images {
                root   /usr/share;
                autoindex on;
        }

        #error_page  404  /404.html;

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
                root   /var/www/nginx-default;
        }

        # proxy the PHP scripts to Apache listening on 127.0.0.1:80
        #
        #location ~ \.php$ {
                #proxy_pass   http://127.0.0.1;
        #}

        # pass the PHP scripts to FastCGI server listening on 127.0.0.1:9000
        #
        location ~ \.php$ {
                fastcgi_pass   127.0.0.1:9000;
                fastcgi_index  index.php;
                fastcgi_param  SCRIPT_FILENAME  /var/www/nginx-default$fastcgi_script_name;
                include        fastcgi_params;
        }

        # deny access to .htaccess files, if Apache's document root
        # concurs with nginx's one
        #
        location ~ /\.ht {
                deny  all;
        }
}
[...]

server_name _; – имя хоста “по умолчанию” (конечно же, никто не мешает явно указать имя хоста, например example.com)
В выражении location / мы указываем индексный файл (index.php) и document root (/var/www/nginx-default)
Важная часть для PHP – это location ~ \.php$ {}, раскомментируйте ее. Не забудьте проверить, что вы изменили строку fastcgi_param на fastcgi_param SCRIPT_FILENAME /var/www/nginx-default$fastcgi_script_name (замените /var/www/nginx-default на ваш реальный путь к document root), иначе интерпретатор PHP может не найти запрашиваемый вами через браузер скрипт.
Удостоверьтесь, что между include и fastcgi_params есть пробел, в оригинальном файле они записаны как одно слово – это ошибка.
Перезапустите nginx

/etc/init.d/nginx restart

Создайте тестовый файл PHP со следующим содержанием

Сохраните в вашей document root и откройте его в браузере (http://192.168.0.100/info.php)

Обратите внимание на строку ServerAPI

Настройка NFS-сервера и клиентов на Debian Lenny

boombick — Mon, 18 May 2009 16:00:55 +0000

В этой статье описан процесс настройки NFS-сервера и его клиентов. NFS расшифровывается как Network File System (Сетевая Файловая Система). Клиенты, подключившие себе ресурсы с NFS-сервера, могут работать с файлами на удаленном сервере также, как если бы они располагались на локальном жестком диске.

В статье мы будем придерживаться следующих соглашений:

NFS-сервер: server.example.com с IP-адресом 192.168.0.100
NFS-клиент: client.example.com с IP-адресом 192.168.0.101

Установка NFS
Сервер

apt-get install nfs-kernel-server nfs-common portmap

Клиент

apt-get install nfs-common portmap

Экспорт директорий с сервера
Сделаем директории /home и /var/nfs доступными для клиентов. Для этого мы должны “экспортировать” их с сервера.

Обычно клиент монтирует NFS-ресурс с правами nobody. Но директория /home, как правило, не принадлежит пользователю nobody (и категорически не рекомендуется менять ее владельца). Помимо чтения, мы хотим предоставить возможность записи в нее, так что укажем NFS, что мы хотим предоставлять доступ к /home от пользователя root. (Если выдается доступ только для чтения, то это не нужно). Ну и наконец необходимо создать директорию /var/nfs и изменить ее владельца на nobody:nogroup

mkdir /var/nfs
chown nobody:nogroup /var/nfs

Теперь отредактируем файл /etc/exports в соответствии с описанными выше параметрами доступа к NFS-ресурсам.

# /etc/exports: the access control list for filesystems which may be exported
#               to NFS clients.  See exports(5).
#
# Example for NFSv2 and NFSv3:
# /srv/homes       hostname1(rw,sync,no_subtree_check) hostname2(ro,sync,no_subtree_check)
#
# Example for NFSv4:
# /srv/nfs4        gss/krb5i(rw,sync,fsid=0,crossmnt,no_subtree_check)
# /srv/nfs4/homes  gss/krb5i(rw,sync,no_subtree_check)
#
/home           192.168.0.101(rw,sync,no_root_squash,no_subtree_check)
/var/nfs        192.168.0.101(rw,sync,no_subtree_check)

(Опция no_root_squash необходима для доступа к директории /home от имени root)
Для получения более подробной информации по опциям и параметрам файла exports обратитесь к документации

man 5 exports

Чтобы сделанные изменения вступили в силу, выполните

exportfs -a

Монтирование NFS-ресурсов
Клиент
Создадим точки монтирования для NFS-ресурсов:

mkdir -p /mnt/nfs/home
mkdir -p /mnt/nfs/var/nfs

И попробуем их смонтировать:

mount 192.168.0.100:/home /mnt/nfs/home
mount 192.168.0.100:/var/nfs /mnt/nfs/var/nfs

Проверим, смонтировались ли “шары”?

client:~# df -h
Filesystem            Size  Used Avail Use% Mounted on
/dev/mapper/vg0-root   19G  676M   17G   4% /
tmpfs                 253M     0  253M   0% /lib/init/rw
udev                   10M   80K   10M   1% /dev
tmpfs                 253M     0  253M   0% /dev/shm
/dev/sda1             471M   20M  427M   5% /boot
192.168.0.100:/home    29G  684M   27G   3% /mnt/nfs/home
192.168.0.100:/var/nfs
                       29G  684M   27G   3% /mnt/nfs/var/nfs
client:~#

client:~# mount
/dev/mapper/vg0-root on / type ext3 (rw,errors=remount-ro)
tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
udev on /dev type tmpfs (rw,mode=0755)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620)
/dev/sda1 on /boot type ext3 (rw)
192.168.0.100:/home on /mnt/nfs/home type nfs (rw,addr=192.168.0.100)
192.168.0.100:/var/nfs on /mnt/nfs/var/nfs type nfs (rw,addr=192.168.0.100)
client:~#

Проверяем работу с файлами
Создадим тестовые файлы в смонтированных директориях
Клиент

touch /mnt/nfs/home/test.txt
touch /mnt/nfs/var/nfs/test.txt

Теперь можно зайти на сервер и убедиться, что физически файлы созданы там

server:~# ls -l /home/
total 4
drwxr-xr-x 2 administrator administrator 4096 2009-02-16 13:18 administrator
-rw-r--r-- 1 root          root             0 2009-03-12 17:08 test.txt
server:~#

server:~# ls -l /var/nfs
total 0
-rw-r--r-- 1 nobody nogroup 0 2009-03-12 17:08 test.txt
server:~#

Обратите внимание: в директории /home владельцем созданного файла является root, так как мы указали серверу, что мы работаем с этим ресурсои от имени root. В /var/nfs все “по умолчанию” – владелец nobody

Монтирование NFS-ресурсов во время загрузки
Для того, чтобы NFS-ресурсы монтировались автоматически во время загрузки клиента, добавьте следующие параметры в файл /etc/fstab на клиентской машине:

[...]
192.168.0.100:/home  /mnt/nfs/home   nfs      rw,sync,hard,intr  0     0
192.168.0.100:/var/nfs  /mnt/nfs/var/nfs   nfs      rw,sync,hard,intr  0     0

Вместо rw,sync,hard,intr вы можете использовать другие опции монтирования. Для более полной информации прочтите

man nfs

Перезагрузите клиента. После загрузки ресурсы должны быть уже смонтированы.

Оригинал: http://howtoforge.org/setting-up-an-nfs-server-and-client-on-debian-lenny

Chroot-окружение SSH/SFTP в Debian Lenny

boombick — Fri, 20 Mar 2009 11:07:20 +0000

С версии 4.8 OpenSSH нативно поддерживает установку chroot-окружения и для этого больше не нужны патчи. Эта статья описывает настройку chroot-окружения для ваших пользователей при использовании SSH/SFTP. Пользователь будет “заперт” в своем каталоге без возможности доступа к основной системе

Предисловие
Описывается настройка chroot-окружения для OpenSSH версии 4.8 для Debian Lenny
Для примера я буду использовать пользователя boombick с домашней директорией /home/boombick. Пользователь boombick входит в группу users. Chroot-окружение будет ограничено директорией /home

Установка OpenSSH
Если OpenSSH-сервер еще не установлен в вашей системе, то установите его командой

# aptitude install ssh openssh-server

Включаем SFTP
Включить SFTP-доступ очень просто. Отредактируйте файл /etc/ssh/sshd_config следующим образом:

# vim /etc/ssh/sshd_config

[...] Subsystem sftp /usr/lib/openssh/sftp-server [...]

и добавьте в конец файла следующие строки (для каждого пользователя, которого вы хотите поместить в chroot):

[...] Match User boombick ChrootDirectory /home AllowTCPForwarding no X11Forwarding no ForceCommand /usr/lib/openssh/sftp-server

… либо для группы пользователей:

[...] Match Group users ChrootDirectory /home AllowTCPForwarding no X11Forwarding no ForceCommand /usr/lib/openssh/sftp-server

Последний вариант поместит всех пользователей, входящих в группу users, в chroot

Перезапустите ssh-сервер

# /etc/init.d/ssh restart

Если вы настраиваете chroot для нескольких пользователей в одну директорию (/home в нашем примере) и не хотите, чтобы они просматривали личные директории друг друга, то не забудьте присвоить верные права для директорий:

chmod 700 /home/boombick

Теперь вы можете зайти на сервер при помощи SFTP-клиента и работать в chroot-окружении.

SSH в chroot-окружении
Настройка chroot для SSH более трудоемка из-за того, что необходимо настроить еще и программное окружение, то есть поместить в chroot такие программы как /bin/bash, /bin/cp и т. д. Это значит, что мы должны будем скопировать эти программы и библиотеки, которые они используют, в наше chroot-окружение. Вы можете сделать это вручную, с помощью команды cp, а узнать список библиотек вам поможет команда ldd:

# ldd /bin/bash linux-gate.so.1 => (0xb7fbd000) libncurses.so.5 => /lib/libncurses.so.5 (0xb7f75000) libdl.so.2 => /lib/i686/cmov/libdl.so.2 (0xb7f71000) libc.so.6 => /lib/i686/cmov/libc.so.6 (0xb7e0f000) /lib/ld-linux.so.2 (0xb7fbe000)

Также надо создать системные устройства /dev/null, /dev/zero, /dev/tty и /dev/urandom. Это можно сделать командой mknod
Но делать это вручную весьма утомительно :) Хорошо, что есть люди, которые помогли облегчить нам эту процедуру. Wolfgang Fuschlberger написал bash-скрипт, который позволяет автоматизировать процесс создания chroot-окружения.

Для начала установим некоторые необходимые пакеты:

aptitutde install sudo debianutils coreutils

Затем скачаем скрипт, пометим его в /usr/local/sbin сделаем его исполняемым

chmod 700 /usr/local/sbin/make_chroot_jail.sh

Но перед стартом добавим некоторые приложения, которые мы хотим сделать доступными для использования в chroot, например, vim

vim /usr/local/sbin/make_chroot_jail.sh

[...] elif [ "$DISTRO" = DEBIAN ]; then APPS="/bin/bash /bin/cp /usr/bin/dircolors /bin/ls /bin/mkdir /bin/mv /bin/rm /bin/rmdir /bin/sh /bin/su /usr/bin/groups /usr/bin/id /usr/bin/rsync /usr/bin/ssh /usr/bin/scp /sbin/unix_chkpwd /usr/bin/vim" else [...]

Затем создадим симлинк в /home, указывающий на сам /home

cd /home ln -s . home

Теперь можно запускать скрипт. Его запускают со следующими параметрами

make_chroot_jail.sh username [/path/to/chroot-shell [/path/to/chroot]]

chroot-shell – это специальная оболочка для пользователей в chroot, которую создает скрипт. Но OpenSSH поддерживает chroot нативно, поэтому мы будем использовать обычный /bin/bash или /bin/sh
Не имеет значения, существует ли пользователь в системе или нет. Если пользователя нет, то он будет создан. Если есть – его данные будут обновлены.

# make_chroot_jail.sh boombick /bin/bash /home

Эта команда создаст/обновит данные пользователя boombick для его работы в chroot
Для обновления всех файлов/библиотек в chroot выполните

make_chroot_jail.sh update /bin/bash /home

Теперь немного подредактируем конфиг (примерно так же, как мы делали для SFTP)

vim /etc/ssh/sshd_config

И добавим следующие строки для каждого пользователя в chroot

[...] Match User boombick ChrootDirectory /home AllowTCPForwarding no X11Forwarding no

Или для группы пользователей

[...] Match Group users ChrootDirectory /home AllowTCPForwarding no X11Forwarding no

Разница в том, что мы не добавляем строку ForceCommand /usr/lib/openssh/sftp-server в выражение Match
Таким образом пользователи могут использовать не только chroot-SFTP (убедитесь, что в /etc/ssh/sshd_config есть строка Subsystem sftp /usr/lib/openssh/sftp-server)
Не забудьте перезапустить ssh-сервер

# /etc/init.d/ssh restart

Оригинал: http://howtoforge.org/chrooted-ssh-sftp-tutorial-debian-lenny

Трансляция музыки через сеть с помощью gnump3d

boombick — Fri, 23 Jan 2009 07:52:35 +0000

У вас есть большая коллекция музыки в mp3/ogg и вы хотите поделиться ею с коллегами по работе? Или с соседями? Вообщем, просто хотите предоставить свою коллекцию в общий доступ. В Windows вы могли бы просто “расшарить” папку. Под UNIX-системами вы можете открыть доступ, используя NFS. Можно запустить FTP- или HTTP-сервер. Но помните, что тогда пользователям придется загрузить файлы к себе на компьютер перед тем, как прослушать их. gnump3d поможет вам. gnump3d – это сервер потокового вещания. Несмотря на то, что в названии присутствует только mp3, gnump3d может также передавать аудиопоток в формате ogg. И вам не надо беспкокиться о перекодировании mp3 в ogg, gnump3d справится с этим самостоятельно.

Получение gnump3d
Вы можете скачать последнюю версию с официальной страницы gnump3d

Установка
Распакуйте загруженный архив:

# tar xzvf gnump3d-2.9.8.tar.gz

и перейдите в директорию с программой

# cd gnump3d-2.9.8

Теперь самое время установить программу. Вы можете подумать, что этот процесс сложен и тяжел, но это не так. Просто дайте команду

# make install

И все :)

Конфигурация
# Перед запуском сервера его надо сконфигурировать. Конфигурационный файл /etc/gnump3d/gnump3d.conf. В нем требуется задать только два параметра: номер порта, который будет прослушиваться сервером. Значение по умолчанию – 8888, вы можете задать свое значение.
# root – параметр, сообщающий gnump3d имя каталога, в котором находятся разделяемые файлы.

Запуск сервера

Для запуска gnump3d просто наберите в командной строке:

gnump3d &

Символ & после команды запустит сервер в фоновом режиме. Для автоматического старта сервера при запуске системы добавьте эту команду в файл /etc/rc.local

Перед запуском Gnump3d вначале проиндексирует вашу коллекцию.

Статистика

Если вы хотите узнать статистику сервера, просто наберите команду

# gnump3d-index --stats

На моей машине этот вывод такой:

Total number of songs: 7246 Total size of archive: 26.2Gb (28194094349 bytes) Total playlength : 24 days, 15 hours, 3 mins 3 seconds

Понижение битрейта

Обычно эта служба используется в локальной сети, где каналы имеют хорошую пропускную способность. Но если вы хотите раздавать музыку в Интернет, то имеет смысл позаботиться о более эффективном использовании канала. Gnump3d может понижать битрейт отдаваемых файлов “на лету”. Для активации этой опции раскоментируйте следующую строку в конфигурационном файле:

# downsample_enabled = 1

Если эта строка закомментирована, остальные опции, относящиеся к понижению битрейта, будут проигнорированы.
Gnump3d использует суффиксы для более точного контроля за битрейтом, если вам, например, необходимо использовать различные настройки для ogg и mp3-файлов. Стандартный формат этой опции такой

downsample_"level"_"suffix"

например,

downsample_high_mp3 = /usr/bin/lame --mp3input -b 128 $FILENAME - downsample_medium_mp3 = /usr/bin/lame --mp3input -b 64 $FILENAME - downsample_low_mp3 = /usr/bin/lame --mp3input -b 32 $FILENAME -

После того, как указали, как понижать битрейт, надо указать, кому его надо понижать. Для этого используются две опции и вы должны задать значения для обеих:

downsample_clients = XXX no_downsample_clients = YYY

Например, если вы хотите изменять битрейт всем, кроме клиентов из вашей локальной сети, то это выглядит так:

downsample_clients = all no_downsample_clients = 192.168.0.0/255.255.255.0

Защита вашей коллекции

Может быть вы захотите закрыть доступ к вашей коллекции неавторизованным пользователям. Вы можете сделать это, используя опции allowed_clients и denied_clients или защитив ее паролем. Если вы воспользуетесь опцией allowed_clients и denied_clients, вы должны указать IP-адреса или адреса подсетей, для которых вы хотитеЮ соответствено, открыть или запретить доступ.

Если вы хотите использовать доступ по паролю, то раскомментируйте в файле /etc/gnump3d/gnump3d.conf строку enable_password_protection = 0 и поменяйте в ней 0 на 1. После этого создайте файл .password (будьте внимательны, не забудьте точку в начале имени, чтобы файл был скрытым) в корне вашей коллекции, указанной в параметре root ( у меня это /home/mp3). Этот файл должен содержать пары “логин/пароль” в следующем формате:

username:password username1:password1

Например

sumodirjo:secretpassword

Не забудьте сделать этот файл доступным для чтения пользователю, под которым запускается gnump3d.

Это все, наслаждайтесь воспроизведением музыки из вашей коллекции!

Оригинал: http://howtoforge.org/share_your_music_with_gnump3d
Мой перевод на сайте rus-linux.net: http://rus-linux.net/lib.php?name=MyLDP/mm/gnump3d.html

Фильтрация пакетов по географическому признаку с помощью iptables и geoip

boombick — Tue, 05 Feb 2008 15:16:50 +0000

Брутфорс-атаки не должны представлять реальной угрозы для хорошо настроенного сервера, но, тем не менее, они отвлекают и засоряют лог-файлы. Существуют различные решения для предотвращения подобных атак. В этой заметке я расскажу вам о еще одном из них: GeoIP
GeoIP – это модуль для netfilter/iptables, который позволяет фильтровать приходящие пакеты по их географическому местоположению.
Этот модуль может быть использован не только для предотвращения брутфорса. Например, его можно использовать для так называемой “расистской маршрутизации”, т.е. для ограничения доступа к серверу пользователям из определенных стран. Оставим цели использования на совести системных администраторов, а в этой заметке я просто опишу установку и настройку модуля

Все проверялось на Debian 4.0, но ничего debian-специфичного в процессе нет, так что все должно работать и на других дистрибутивах GNU/Linux. Для установки нам понадобятся новый модуля для ядра, библиотеки для iptables и база соответствия IP-адресов странам. Пересобирать ядро не нужно.
Итак:

Подготовка
Первым делом нам понадобятся исходные тексты ядра, которое используется в системе. Для Debian Etch это 2.6.18

# apt-get install linux-source-2.6.18

Скачанные исходники будут лежать в /usr/src. Распакуем их:

# tar xjf /usr/src/linux-source-.tar.bz2 -C /usr/src/

Замените на версию вашего ядра. Для распакованного архива понадобится около 300 Мб свободного места.

Теперь нам нужны исходные тексты iptables. Нет необходимости пересобирать сам iptables, но исходники понадобятся для сборки модуля. Для работы с ними удобно использовать временную директорию

# mkdir ~/geoip
# cd ~/geoip/
# apt-get source iptables

Внимание, для использования apt-get source в вашей системе должен быть установлен пакет dpkg-dev

Теперь не хватает только самого geoip

# wget http://people.netfilter.org/peejix/patchlets/geoip.tar.gz

Для дальнейшей работы нам понадобится patch-o-matic-ng, его можно найти на Если у вас старое ядро, то, возможно, вам придется выбрать более старую версию, но для нашей заметки актуален последний снапшот:

# wget http://ftp.netfilter.org/pub/patch-o-matic-ng/snapshot/patch-o-matic-ng-20070414.tar.bz2

Распакуем полученный архив:

# tar xjf patch-o-matic-ng-20070414.tar.bz2

И распакуем исходники geoip в поддиректорию patchlets/ пакета patch-o-matic-ng

# tar xzf geoip.tar.gz -C patch-o-matic-ng-20070414/patchlets/

Наложение патчей
Применим необходимые патчи к ядру и iptables

# cd patch-o-matic-ng-20070407/
# KERNEL_DIR=/usr/src/linux-source-/ IPTABLES_DIR=~/geoip/iptables-/iptables/ ./runme geoip

Не забудьте заменить на используемые в вашей системе версии ядра и iptables.
Если все прошло успешно, то patch-o-matic-ng предоставит информацию о полученном патче и предложит применить его. Ответьте y.

Сборка и установка модуля для ядра
Для сборки нам понадобится пакет build-essential. Если вы работаете не с Debian, то установите средства для разработки: gcc, make и т.д.

# apt-get install build-essential

Так как нам потребуется немного переконфигурировать ядро, мы возьмем за основу уже имеющуюся конфигурацию:

# cd /usr/src/linux-source-/
# make oldconfig

На вопрос:

geoip match support (IP_NF_MATCH_GEOIP) [N/m/?] (NEW)

Ответьте m, чтобы собрать geoip как модуль.

Выполните подготовку для сборки модулей:

# make modules_prepare

Затем соберите модули.. К сожалению, я не знаю как собрать только один необходимый модуль, так что собираем все модули netfilter, пока кто-нибудь не предложит лучший способ :)

# make -C $(pwd) M=net/ipv4/netfilter/ modules

Если все нормально, то файл ipt_geoip.ko должен появиться в net/ipv4/netfilter/. Скопируем его к остальным модулям системы

# cp net/ipv4/netfilter/ipt_geoip.ko /lib/modules/$(uname -r)/kernel/net/ipv4/netfilter/

И активируем его:

# depmod
# modprobe ipt_geoip
# echo “ipt_geoip” >> /etc/modules

Сборка и установка библиотек iptables
Соберем библиотеку:

# cd ~/geoip/iptables-/iptables/
make KERNEL_DIR=/usr/src/linux-source-/ extensions/libipt_geoip.so

Не забывайте заменять !!!

Скопируем полученный файл к другим библиотекам iptables

cp extensions/libipt_geoip.so /lib/iptables/

Создание файла привязок IP-адресов к странам
Мы будем использовать свободно распространяемую базу с MaxMind Она имеет заявленную точность в 98% и обновляется раз в месяц. Если для вас этого недостаточно, можно купить более точную платную версию там же. Скачайте и распакуйте базу:

# cd ~/geoip/
# wget http://www.maxmind.com/download/geoip/database/GeoIPCountryCSV.zip
# unzip GeoIPCountryCSV.zip

Вы можете открыть полученный файл в любом редакторе и увидите, что это просто список, со значениями, разделенными запятыми. Поиск в таком файле будет занимать много времени, поэтому мы преобразуем его в бинарный формат, используя утилиту csv2bin, также предоставленную автором geoip.

# wget http://people.netfilter.org/peejix/geoip/tools/csv2bin-20041103.tar.gz
# tar xzf csv2bin-20041103.tar.gz
# cd csv2bin/
# make
# ./csv2bin ../GeoIPCountryWhois.csv

Она создаст два файла geoipdb.bin и geoipdb.idx, которые необходимо положить в /var/geoip

# mkdir /var/geoip
# mv geoipdb.* /var/geoip/

Теперь вы можете выполнять фильтрацию по географическому признаку :)

# # Блокировка доступа к SSH всем, кроме Афганистана
# iptables -A INPUT -p tcp –dport 22 -m geoip ! –src-cc AF -j REJECT
# # Запрет на пинг хостов, расположенных во Франции, Италии и Испании
# iptables -A OUTPUT -p icmp -m geoip –dst-cc FR,IT,ES -j REJECT
# # Помощь
# iptables -m geoip –help

Оригинал: http://www.debian-administration.org/articles/518