Toon posts:

Iptables geoIP: No chain/target/match by that name

Pagina: 1
Acties:

Vraag

zaterdag 14 april 2018 12:15

Acties:
  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

Topicstarter
Ik wou graag op m'n VPS geoblocking instellen om toch alvast de Chinezen eruit te filteren... Maar iptables lijkt daar anders over te denken :P.

Ik heb de GeoIP database geïnstalleerd etc. maar als ik een firewall-regel wil laten laden dan geeft iptables een vage foutmelding dat de chain/target/match niet zou bestaan terwijl die er (voor zover ik kan zien) weldegelijk zijn :?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

root@atalanta:~# iptables -A INPUT -m geoip --src-cc CN -j DROP
iptables: No chain/target/match by that name.
root@atalanta:~# iptables -nvL INPUT
Chain INPUT (policy DROP 220 packets, 14960 bytes)
 pkts bytes target     prot opt in     out     source               destination
59778 3248K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set blacklist src
 730K 1004M ACCEPT     tcp  --  ens3   *       0.0.0.0/0            0.0.0.0/0            state NEW,ESTABLISHED tcp dpt:xxxx
 382K  105M f2b-postfix-sasl  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport dports 25,993
9230K  760M ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
  714 43120 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 REJECT     all  --  !lo    *       0.0.0.0/0            127.0.0.0/8          reject-with icmp-port-unreachable
19663 1050K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80
61371 3538K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443
 8374  506K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp multiport dports 587,993
 4550  215K ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:25
 769K   26M ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8
    0     0 ACCEPT     tcp  --  ens3   *       92.xxx.xxx.0/24      0.0.0.0/0            state NEW,ESTABLISHED
    0     0 ACCEPT     tcp  --  ens3   *       92.xxx.xxx.0/24      0.0.0.0/0            state NEW,ESTABLISHED
    0     0 ACCEPT     tcp  --  ens3   *       167.xxx.xxx.0/24     0.0.0.0/0            state NEW,ESTABLISHED
 4599  202K ACCEPT     tcp  --  ens3   *       xxx.xxx.xxx.x        0.0.0.0/0            state NEW,ESTABLISHED
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:68


Nu suggereert Google dat het aan de kernelconfiguratie zou kunnen liggen, maar dit is een standaardinstallatie van Debian Stretch. Dat lijkt me sterk...

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

Alle reacties

zaterdag 14 april 2018 12:20

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 20:31

Hero of Time

Moderator LNX

There is only one Legend

code:
1

59778 3248K DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set blacklist src

Dat is heel mooi, maar bestaat die blacklist definitie?

Commandline FTW | Tweakt met mate

zaterdag 14 april 2018 12:29

Acties:
  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

Topicstarter
Ja, da's een ipset blacklist. Het werkt trouwens evenmin met -j REJECT.

root@atalanta:~# ipset list -n
blacklist

[ Voor 28% gewijzigd door Borromini op 14-04-2018 12:30 ]

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

zaterdag 14 april 2018 12:47

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 20:31

Hero of Time

Moderator LNX

There is only one Legend

In zo'n geval, regel voor regel testen. Begin leeg en voeg er een regel per keer aan toe totdat je de foutmelding krijgt. Dan skip je die en doe je de rest, om zeker te weten dat je niet meer dan 1 fout hebt.

Commandline FTW | Tweakt met mate

zaterdag 14 april 2018 20:04

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 06-11 09:18

igmar

ISO20022

Je hebt wel xtables-addons-common geinstalleerd ?

zaterdag 14 april 2018 20:44

Acties:
  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

Topicstarter
Ja die staat erop (ik vermoed dat de geoip module daar deel van uitmaakt). Ik zal waarschijnlijk gewoon mijn firewall-regels moeten afgaan zoals Hero of Time suggereert... Ik ga het nakijken en kom erop terug.

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

dinsdag 17 april 2018 23:00

Acties:
  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

Topicstarter
OK... Ik kan mezelf wel voor het hoofd slaan natuurlijk maar xtables-addons-dkms werd wel gesuggereerd maar is blijkbaar geen vereist pakket op Debian (en heel wat tutorials reppen er ook met geen woord over 8)7). Zodra ik instructies tegenkwam die 
# modprobe xt_geoip
suggereerden ging er een lichtje branden... Nu werkt het dus als een tierelier. :)

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

woensdag 18 april 2018 07:18

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 20:31

Hero of Time

Moderator LNX

There is only one Legend

Zet je 't nog wel even in /etc/modules, zodat je na een reboot niet de laatste paar haren uit je kop trekt?

Commandline FTW | Tweakt met mate

woensdag 18 april 2018 07:46

Acties:
  • Borromini
  • Registratie: Januari 2003
  • Niet online

Borromini

Mislukt misantroop

Topicstarter
Haha. Idd, bedankt.

Got Leenucks? | Debian Bookworm x86_64 / ARM | OpenWrt: Empower your router | Blogje

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq