IPTABLES und mit IPSET generierte Länderliste lässt sich nicht aktivieren

Status
Für weitere Antworten geschlossen.

kitatu

Benutzer
Mitglied seit
09. Mai 2014
Beiträge
22
Punkte für Reaktionen
0
Punkte
0
Hallo,

ich komme mit einer Angelegenheit von der ich nun nicht weiß wo sie eigentlich hier reinpasst - des wegen unter "Sonstiges".

Ich habe ein DS415+ und lasse darauf das Programm MailPlus-Server laufen. Ich habe eine feste IP, DKIM, SPF, verschiedene Blacklists und header_ und body_checks am Laufen. So weit so gut.

In der Firewall sind neben einigen IP-Blöcken auch etliche Länder gesperrt. Leider ist die darauf zugrunde liegende Datenbank nach einiger Zeit - nun sagen wir mal - löchrig. Um dem Abhilfe zu schaffen bin ich auf einige Scripts gestoßen die eine sehr schnelle Update-Funktionalität zur Verfügung stellen und die IP-Listen länderbezogen aktualisieren. Das erste Script (noch in der Testphase daher nicht kombiniert) lädt von ipdeny.com die aggregierten Listen herunter und fügt sie zu einer Liste zusammen die ich "geoblock" genannt habe. Damit ist sie aber noch nicht aktiv. Das Script sieht folgendermaßen aus:

Rich (BBCode):
ipset -N geoblock hash:net
for IP in $(wget -O – http://www.ipdeny.com/ipblocks/data/aggregated/{af,al,dz,as,ao,ai,ag,ar,am,aw,au,az,bs,bh,bd,bb,by,bz,bj,bm,bt,bo,ba,bw,br,io,bn,bf,bi,kh,cm,cv,ky,cf,td,cl,cn,co,km,cg,cd,ck,cr,ci,cu,dj,dm,do,ec,eg,sv,gq,er,et,fo,fj,gf,pf,ga,gm,ge,gh,gd,gp,gu,gt,gn,gw,gy,ht,va,hn,hk,in,id,ir,iq,im,il,jm,je,jo,kz,ke,ki,kp,kr,kw,kg,la,lb,ls,lr,ly,mo,mk,mg,mw,my,mv,ml,mh,mq,mr,mu,yt,mx,fm,md,mn,me,ms,ma,mz,mm,na,nr,np,nc,nz,ni,ne,ng,nu,nf,mp,om,pk,pw,ps,pa,pg,py,pe,ph,pl,pr,qa,re,ru,rw,kn,lc,pm,vc,ws,st,sa,sn,sc,sl,sb,so,za,lk,sd,sr,sz,sy,tw,tj,tz,th,tl,tg,tk,to,tt,tn,tr,tm,tc,tv,ug,ua,ae,uy,uz,vu,ve,vn,vg,vi,wf,ye,zm,zw}-aggregated.zone)
do
ipset -A geoblock $IP
done

Dieser Code funktioniert einwandfrei auf meinem Linux-Rechner und auf der DS.

Als Nächstes ist es dann notwendig die Liste in "iptables" zu integrieren. Dafür ist folgende Befehlszeile gedacht:

Rich (BBCode):
sudo iptables -A INPUT -m set --match-set geoblock src -j DROP
und anschließend noch das Passwort.

Auch dies funktioniert einwandfrei auf meinem Linux-Rechner, aber nicht auf der DS.

Auf meinem Linux-Rechner sieht anschließend die Ausgabe von "sudo iptables -L" dann so aus (bold Text):
Rich (BBCode):
Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere             match-set geoblock src

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain droplist (0 references)
target     prot opt source               destination

Auf der DS erhalte ich aber folgende Fehlermeldung:
Rich (BBCode):
iptables v1.6.0: Kernel module xt_set is not loaded in.

Das Einbinden des Moduls xt_set mit modprobe funktioniert nicht, obwohl sie sich im Verzeichnis /~lib/modules bzw. /~lib64/modules befindet. Es gibt aber auch keine Fehlermeldung.
Mit insmod gibt es eine Fehlermeldung:
Rich (BBCode):
insmod: ERROR: could not insert module /lib/modules/xt_set.ko: Unknown symbol in module

Eine Abfrage mit
Rich (BBCode):
lsmod | grep xt_
ergibt folgende Ausgabe:
Rich (BBCode):
xt_mac                   955  0 
xt_geoip                3022  56 
xt_REDIRECT             1542  0 
xt_nat                  1777  3 
xt_conntrack            3137  5 
xt_addrtype             2693  1 
nf_nat                 11693  5 ipt_MASQUERADE,nf_nat_ipv4,xt_nat,xt_REDIRECT,iptable_nat
xt_recent               8408  0 
xt_iprange              1448  54 
xt_limit                1721  1 
xt_state                1103  0 
xt_tcpudp               2279  6 
xt_multiport            1630  38 
xt_LOG                 12228  1 
x_tables               15456  19 ip6table_filter,xt_iprange,xt_recent,ip_tables,xt_tcpudp,ipt_MASQUERADE,compat_xtables,xt_geoip,xt_limit,xt_state,xt_conntrack,xt_LOG,xt_mac,xt_nat,xt_multiport,iptable_filter,xt_REDIRECT,ip6_tables,xt_addrtype
nf_conntrack           52960  8 ipt_MASQUERADE,nf_nat,xt_state,nf_nat_ipv4,xt_conntrack,iptable_nat,nf_conntrack_ipv4,nf_conntrack_ipv6

Die Ausgabe mit
Rich (BBCode):
lsmod | grep ip_tables
ergibt folgende Ausgabe:
Rich (BBCode):
ip_tables              14979  2 iptable_filter,iptable_nat
x_tables               15456  19 ip6table_filter,xt_iprange,xt_recent,ip_tables,xt_tcpudp,ipt_MASQUERADE,compat_xtables,xt_geoip,xt_limit,xt_state,xt_conntrack,xt_LOG,xt_mac,xt_nat,xt_multiport,iptable_filter,xt_REDIRECT,ip6_tables,xt_addrtype

xt_set fehlt.

Die Ausgabe von
Rich (BBCode):
lsmod | grep xt_
auf dem Linux-Rechner sieht so aus:
Rich (BBCode):
xt_set                 16384  1
ip_set                 36864  2 xt_set,ip_set_hash_net
xt_LOG                 16384  0
x_tables               28672  4 xt_LOG,ip_tables,iptable_filter,xt_set

xt_set ist vorhanden.

Hat jemand eine Idee wie ich das Modul eingebunden bekomme, oder was sonst falsch läuft?
 
Zuletzt bearbeitet:

kitatu

Benutzer
Mitglied seit
09. Mai 2014
Beiträge
22
Punkte für Reaktionen
0
Punkte
0
*PUSH*
Leider habe ich für obiges Problem leider immer noch keine Lösung und wollte die Angelegenheit noch mal nach vorn bringen.

Kann hier jemand was dazu sagen?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat