우분투 12.04에서 iptables와 geoip를 이용해서 국가단위로 접근을 제한하는 방법을 안내합니다.
설치
필요한 패키지 설치
# sudo apt-get install xtables-addons-common
# sudo apt-get install libtext-csv-xs-perl
GEOIP 데이터베이스 다운로드
# sudo /usr/lib/xtables-addons/xt_geoip_dl
다운로드한 데이터베이스 압축해제
# sudo mkdir /usr/share/xt_geoip
# sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip *.csv
사용방법
특정 국가만 차단
# iptables -A INPUT -m geoip –src-cc CN,IN,RU,JP -j DROP
특정 국가를 제외한 나머지 차단
# iptables -A INPUT -m geoip ! –src-cc KR -j DROP
오류처리
상황
-m geoip 사용시 아래와 같은 오류발생
iptables: No chain/target/match by that name.
처리
xtables-addons-1.47.1 소스코드 다운로드
최신버전인 3.x는 우분투 12.04의 커널버전이 낮아서 사용할 수 없으니 1.x 버전을 사용해야 한다
# wget https://sourceforge.net/projects/xtables-addons/files/Xtables-addons/xtables-addons-1.47.1.tar.xz/download
# xz -d xtables-addons-1.47.1.tar.xz
# tar xf xtables-addons-1.47.1.tar
# cd xtables-addons-1.47
# ./configure
# make && make install
확인
아래명령을 실행해서 ‘geoip’ 가 있는지 확인
#cat /proc/net/ip_tables_matches
conntrack
conntrack
conntrack
state
geoip
udplite
udp
tcp
multiport
icmp