iptables блокировка стран

Можно, скачиваешь списки сетей geoip, добавляешь в ipset, строишь правила.

Ну если мне например трафик только с России нужно принимать, я не устану списки ip адресов копипастить? Может есть какая то автоматизация

Есть, скачать любую базу сетей РФ geoip, возьми оттуда только сети РФ, напиши скрипт, который добавит сети в ipset, ограничь.

Ну либо найди в интернет готовый скрипт по скачиванию сетей нужной страны.

В чём проблема?

для iptables есть расширение geoip. потребует установки и регулярного обновления соответствующих баз. хотя эти базы тоже гарантии не дают. иногда ищещь по whois какой-нибудь адрес, а у него подсеть в одной стране, а меньший диапазон - в другой.

Да тут похоже проблему так просто не решить)

Будь как ркн - белые списки

Т.е пускать трафик по белым спискам? А где их всех взять? Мне кажется это не реально

Я не понимаю, почему ты ещё и ещё задаёшь вопрос как тебе получить список сетей страны и что с ним делать.

Тебе уже ответили, есть geoip, есть например ещё вот такой сайт: https://mikrotik-geoip.bafista.ru/

Вот все сети из этого списка добавляешь в ipset и далее если тебе нужно блокировать подключение только к твоему шлюзу, то ipset со списком этих сетей добавляешь в правило accept, а далее drop, привязывайся к внешнему интерфейсу в правиле.

Если нужно так же и для транзитного трафика за шлюзом (в локальной сети), то аналогично в forward для этого ipset в начале accept, потом просто всё drop, привязывайся к внешнему интерфейсу в правиле, чтобы не влиять на внутренний трафик, если сетей в локальной сети много.

В чём проблема, почему ты не можешь сделать, что уже разжёвано?

Тебе всё равно сети нужно загрузить в ядро, в частности в пакетный фильтр, размещать их где-то на диске не получится.

Да тут похоже проблему так просто не решить)

iptables bla-bla-bla -m geoip --src-cc RU

Надо ещё xtables-addons-geoip-utils, xtables-addons и kernel-modules-xtables-addons. Имена пакетов с поправкой на дистрибутив, может быть как-то по разному. Источник данных, правда не местный, будет доступ, не будет - кто его знает. Пока есть. Ну и, как уже сказали, неточность может присутствовать, может зависеть от частоты обновления и т.п.

можно подробнее как это установить? Сервер Debian 12

С помощью apt.

Давай ты сначала сам попробуешь уже хоть что-нибудь, а потом вопросы будешь задавать, если что-то не получится?

Делаю по этому ману https://megapuper.ru/index.php?title=IPTABLES.%D0%91%D0%BB%D0%BE%D0%BA%D0%B8%D1%80%D0%BE%D0%B2%D0%BA%D0%B0%D0%BF%D0%BE_GeoIP

Всё устновил но при добавлении iptables -I INPUT -m geoip ! –src-cc RU -j DROP получаю: Warning: Extension geoip is not supported, missing kernel module? iptables v1.8.9 (nf_tables): Couldn’t load match `geoip’:No such file or directory

Сервер Debian 12

Понятия не имею, как там точно пакеты называются, у меня ALT Linux.

можно подробнее как это установить?

Вроде написал, как мог. Нужен модуль ядра, нужны юзерспейсовые утилиты, которые по крону будут качать базу раз, скажем, в неделю и обновлять. Смотри список пакетов по «xtables», там уже по именам.

Опять же Гугль: «iptables geoip Debian». Учить поисковиком пользоваться?

Всё устновил
missing kernel module?

И модуль ядра? Он, конечно, может и в общем пакете с ядром быть, но может быть и отдельно. Очевидно, что отдельно.

Значит, что-то не то установил.

И, главное, зачем ты собирал что-то вне пакетного менеджера, когда в debian есть пакеты xtables-addons-dkms и xtables-addons-common?

Хорошою Сейчас я блокирую некоторый ip, вот что я сделал ipset -N myset nethash iptables -A CUSTOM-DOCKER -m set –match-set myset src -j DROP Т.е у меня есть myset в короый я вбиваю ip и блокирую. Допустим я хочу скачать базу ip https://mikrotik-geoip.bafista.ru/ и создать разрешить входящий трафик только от туда. Например тот же myset, какая тогда будет команда в отличии iptables -A CUSTOM-DOCKER -m set –match-set myset src -j DROP