VPF::ipfw и списки IP's географического региона

apache2

Дата 8.10.2008, 16:16 (ссылка)

(нет голосов)

Загрузка ...

Шустрый

Профиль
Группа: Участник
Сообщений: 146
Регистрация: 6.8.2006

Репутация: нет
Всего: нет

Привет!
Есть FreeBSD и ipfw - стала задача ограничить выход с сервера (он как роутер) только на определенную географическую область (например, только по России) - есть список IP адресов с масками - но он ОЧЕНЬ большой (более 10.000 адресов)!
Как в файрволе сделать эффективный просмотр этого списка - ну не писать же отдельные строки для каждого IP/mask - посоветуйте пожалуйста как сделать

Спасибо!

marykone

Дата 8.10.2008, 17:11 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Комодератор
Сообщений: 2722
Регистрация: 2.5.2006
Где: Краснодар

Репутация: 4
Всего: 67

Цитата(apache2 @ 8.10.2008, 16:16

)

Есть FreeBSD и ipfw - стала задача ограничить выход с сервера (он как роутер) только на определенную географическую область (например, только по России)

это зачем ?

Цитата(apache2 @ 8.10.2008, 16:16

)

есть список IP адресов с масками - но он ОЧЕНЬ большой (более 10.000 адресов)!

не уверен что все учтенны

Цитата(apache2 @ 8.10.2008, 16:16

)

ну не писать же отдельные строки для каждого IP/mask - посоветуйте

можно к примеру
195.151.0.0/16 бери блоки побольше

пробивай whois

Код


C:\Documents and Settings\HZ>whois 195.151.0.
% This is the RIPE Whois query server #3.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
%       To receive output for a database update, u

% Information related to '195.151.0.0 - 195.151.0.

inetnum:        195.151.0.0 - 195.151.0.255
netname:        URALPLASTIC-NET
descr:          (EK001210), ZAO Uralplastic , Ekat
country:        RU
admin-c:        EA2329-RIPE
tech-c:         EA2329-RIPE
status:         ASSIGNED PA
mnt-by:         ROSPRINT-NCC
source:         RIPE # Filtered

person:         Esin Alexandr
address:        11 , Kosmonavtov str.,
address:        Russia
address:        Ekaterinburg
e-mail:         [email protected]
phone:          +7 343 3219502
nic-hdl:        EA2329-RIPE
source:         RIPE # Filtered

% Information related to '195.151.0.0/16AS2854'

route:        195.151.0.0/16
descr:        RU-ROSPRINT BLOCK
origin:       AS2854
mnt-by:       ROSPRINT-NCC
source:       RIPE # Filtered

Цитата(apache2 @ 8.10.2008, 16:16

)

Есть FreeBSD и ipfw

не загнется !!!!

Это сообщение отредактировал(а) marykone - 8.10.2008, 17:16

--------------------

получил ответ, пометь вопрос как решенный (правый верхний угол вашей темы).

Imple

Дата 8.10.2008, 17:37 (ссылка)

(нет голосов)

Загрузка ...

Эксперт

Профиль
Группа: Завсегдатай
Сообщений: 1546
Регистрация: 14.9.2007
Где: Алма-Ата

Репутация: 18
Всего: 87

Если у вас хороший процессор и достаточно оперативной памяти, а сервер не перегружен разными апачами/сэндмэйлами и т.д., то ipfw с 10-ю тысячами правил справится без проблем. Для простоты применения, напишите скриптик который считает из файла нужные сети, и внесет их в правила ipfw. И, как уже сказал marykone, удлиняйте префиксы. Это значительно уменьшит количество правил. В десятки раз.

Приблизительный список сетей для определенной страны можно подчерпнуть здесь: http://www.countryipblocks.net/index.php

--------------------

Не шалю, никого не трогаю, починяю сервер.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:
« Предыдущая тема \| *Администрирование NIX систем** \| Следующая тема »