- Mitglied seit
- 09. Mai 2014
- Beiträge
- 22
- Punkte für Reaktionen
- 0
- Punkte
- 0
Hallo,
ich komme mit einer Angelegenheit von der ich nun nicht weiß wo sie eigentlich hier reinpasst - des wegen unter "Sonstiges".
Ich habe ein DS415+ und lasse darauf das Programm MailPlus-Server laufen. Ich habe eine feste IP, DKIM, SPF, verschiedene Blacklists und header_ und body_checks am Laufen. So weit so gut.
In der Firewall sind neben einigen IP-Blöcken auch etliche Länder gesperrt. Leider ist die darauf zugrunde liegende Datenbank nach einiger Zeit - nun sagen wir mal - löchrig. Um dem Abhilfe zu schaffen bin ich auf einige Scripts gestoßen die eine sehr schnelle Update-Funktionalität zur Verfügung stellen und die IP-Listen länderbezogen aktualisieren. Das erste Script (noch in der Testphase daher nicht kombiniert) lädt von ipdeny.com die aggregierten Listen herunter und fügt sie zu einer Liste zusammen die ich "geoblock" genannt habe. Damit ist sie aber noch nicht aktiv. Das Script sieht folgendermaßen aus:
Dieser Code funktioniert einwandfrei auf meinem Linux-Rechner und auf der DS.
Als Nächstes ist es dann notwendig die Liste in "iptables" zu integrieren. Dafür ist folgende Befehlszeile gedacht:
und anschließend noch das Passwort.
Auch dies funktioniert einwandfrei auf meinem Linux-Rechner, aber nicht auf der DS.
Auf meinem Linux-Rechner sieht anschließend die Ausgabe von "sudo iptables -L" dann so aus (bold Text):
Auf der DS erhalte ich aber folgende Fehlermeldung:
Das Einbinden des Moduls xt_set mit modprobe funktioniert nicht, obwohl sie sich im Verzeichnis /~lib/modules bzw. /~lib64/modules befindet. Es gibt aber auch keine Fehlermeldung.
Mit insmod gibt es eine Fehlermeldung:
Eine Abfrage mit
ergibt folgende Ausgabe:
Die Ausgabe mit
ergibt folgende Ausgabe:
xt_set fehlt.
Die Ausgabe von
auf dem Linux-Rechner sieht so aus:
xt_set ist vorhanden.
Hat jemand eine Idee wie ich das Modul eingebunden bekomme, oder was sonst falsch läuft?
ich komme mit einer Angelegenheit von der ich nun nicht weiß wo sie eigentlich hier reinpasst - des wegen unter "Sonstiges".
Ich habe ein DS415+ und lasse darauf das Programm MailPlus-Server laufen. Ich habe eine feste IP, DKIM, SPF, verschiedene Blacklists und header_ und body_checks am Laufen. So weit so gut.
In der Firewall sind neben einigen IP-Blöcken auch etliche Länder gesperrt. Leider ist die darauf zugrunde liegende Datenbank nach einiger Zeit - nun sagen wir mal - löchrig. Um dem Abhilfe zu schaffen bin ich auf einige Scripts gestoßen die eine sehr schnelle Update-Funktionalität zur Verfügung stellen und die IP-Listen länderbezogen aktualisieren. Das erste Script (noch in der Testphase daher nicht kombiniert) lädt von ipdeny.com die aggregierten Listen herunter und fügt sie zu einer Liste zusammen die ich "geoblock" genannt habe. Damit ist sie aber noch nicht aktiv. Das Script sieht folgendermaßen aus:
Rich (BBCode):
ipset -N geoblock hash:net
for IP in $(wget -O – http://www.ipdeny.com/ipblocks/data/aggregated/{af,al,dz,as,ao,ai,ag,ar,am,aw,au,az,bs,bh,bd,bb,by,bz,bj,bm,bt,bo,ba,bw,br,io,bn,bf,bi,kh,cm,cv,ky,cf,td,cl,cn,co,km,cg,cd,ck,cr,ci,cu,dj,dm,do,ec,eg,sv,gq,er,et,fo,fj,gf,pf,ga,gm,ge,gh,gd,gp,gu,gt,gn,gw,gy,ht,va,hn,hk,in,id,ir,iq,im,il,jm,je,jo,kz,ke,ki,kp,kr,kw,kg,la,lb,ls,lr,ly,mo,mk,mg,mw,my,mv,ml,mh,mq,mr,mu,yt,mx,fm,md,mn,me,ms,ma,mz,mm,na,nr,np,nc,nz,ni,ne,ng,nu,nf,mp,om,pk,pw,ps,pa,pg,py,pe,ph,pl,pr,qa,re,ru,rw,kn,lc,pm,vc,ws,st,sa,sn,sc,sl,sb,so,za,lk,sd,sr,sz,sy,tw,tj,tz,th,tl,tg,tk,to,tt,tn,tr,tm,tc,tv,ug,ua,ae,uy,uz,vu,ve,vn,vg,vi,wf,ye,zm,zw}-aggregated.zone)
do
ipset -A geoblock $IP
done
Dieser Code funktioniert einwandfrei auf meinem Linux-Rechner und auf der DS.
Als Nächstes ist es dann notwendig die Liste in "iptables" zu integrieren. Dafür ist folgende Befehlszeile gedacht:
Rich (BBCode):
sudo iptables -A INPUT -m set --match-set geoblock src -j DROP
Auch dies funktioniert einwandfrei auf meinem Linux-Rechner, aber nicht auf der DS.
Auf meinem Linux-Rechner sieht anschließend die Ausgabe von "sudo iptables -L" dann so aus (bold Text):
Rich (BBCode):
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere match-set geoblock src
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain droplist (0 references)
target prot opt source destination
Auf der DS erhalte ich aber folgende Fehlermeldung:
Rich (BBCode):
iptables v1.6.0: Kernel module xt_set is not loaded in.
Das Einbinden des Moduls xt_set mit modprobe funktioniert nicht, obwohl sie sich im Verzeichnis /~lib/modules bzw. /~lib64/modules befindet. Es gibt aber auch keine Fehlermeldung.
Mit insmod gibt es eine Fehlermeldung:
Rich (BBCode):
insmod: ERROR: could not insert module /lib/modules/xt_set.ko: Unknown symbol in module
Eine Abfrage mit
Rich (BBCode):
lsmod | grep xt_
Rich (BBCode):
xt_mac 955 0
xt_geoip 3022 56
xt_REDIRECT 1542 0
xt_nat 1777 3
xt_conntrack 3137 5
xt_addrtype 2693 1
nf_nat 11693 5 ipt_MASQUERADE,nf_nat_ipv4,xt_nat,xt_REDIRECT,iptable_nat
xt_recent 8408 0
xt_iprange 1448 54
xt_limit 1721 1
xt_state 1103 0
xt_tcpudp 2279 6
xt_multiport 1630 38
xt_LOG 12228 1
x_tables 15456 19 ip6table_filter,xt_iprange,xt_recent,ip_tables,xt_tcpudp,ipt_MASQUERADE,compat_xtables,xt_geoip,xt_limit,xt_state,xt_conntrack,xt_LOG,xt_mac,xt_nat,xt_multiport,iptable_filter,xt_REDIRECT,ip6_tables,xt_addrtype
nf_conntrack 52960 8 ipt_MASQUERADE,nf_nat,xt_state,nf_nat_ipv4,xt_conntrack,iptable_nat,nf_conntrack_ipv4,nf_conntrack_ipv6
Die Ausgabe mit
Rich (BBCode):
lsmod | grep ip_tables
Rich (BBCode):
ip_tables 14979 2 iptable_filter,iptable_nat
x_tables 15456 19 ip6table_filter,xt_iprange,xt_recent,ip_tables,xt_tcpudp,ipt_MASQUERADE,compat_xtables,xt_geoip,xt_limit,xt_state,xt_conntrack,xt_LOG,xt_mac,xt_nat,xt_multiport,iptable_filter,xt_REDIRECT,ip6_tables,xt_addrtype
xt_set fehlt.
Die Ausgabe von
Rich (BBCode):
lsmod | grep xt_
Rich (BBCode):
xt_set 16384 1
ip_set 36864 2 xt_set,ip_set_hash_net
xt_LOG 16384 0
x_tables 28672 4 xt_LOG,ip_tables,iptable_filter,xt_set
xt_set ist vorhanden.
Hat jemand eine Idee wie ich das Modul eingebunden bekomme, oder was sonst falsch läuft?
Zuletzt bearbeitet: