iptables (shorewall) - wyciecie "polski"

xxx-klient - 13-11-2008 11:01
iptables (shorewall) - wyciecie "polski"
Pytanie odnosnie konfigu shorewalla /nakladki na iptables/

Mamy uslugi ktorych nie chcemy udostepniac polakom, jak w miare w prosty sposob "wyciac" na FW polskie ip -ki.

Wiadomo ze w 100% jest to nie mozliwe , ale zawsze ograniczy :)

grz3chu - 13-11-2008 11:12
http://42.pl/pl/custom2.html?line=/s...+any+-j+REJECT

Wszystkie klasy adresowe polskich operatorów. Format gotowy pod iptables. Użyj "blacklist" lub plik "start" który ładuje się po odpaleniu shorewall'a. Ale najprościej dopisać do tego pliku co podałem #!/bin/bash na gorze i uruchamiać to jako skrypt. Trochę tego jest.

pmuch - 13-11-2008 13:28
Jeśli już takie klasy wycinać, to zainteresuj się ipsetem - działa znacznie sprawniej niż dodawanie po kolei do iptables

psych0l - 14-11-2008 11:13
klasy na tej liscie sa mocno nie aktualne.

kewals - 14-11-2008 11:27
Cytat:
klasy na tej liscie sa mocno nie aktualne. Które konkretnie?

kewals - 14-11-2008 13:18
Cytat:
Poniekąd się z tym zgodzę, nowe klasy są dodawane ale czy dodane wcześniej są weryfikowane co jakiś czas? Zdecyduj się. Zgadzasz się albo zastanawiasz się czy się zgodzić?
Jeśli jednak posiadasz wiedzę nt. nieaktulanych wpisów dlaczego ich zwyczajnie nie podasz (ew. nie napiszesz bezpośrednio do żródła aby poprawić)?

kewals - 14-11-2008 17:04
Cytat:
Zgadzam się z psych0lem, część informacji może być nieaktualna.
Lista jest budowana na podstawie tego, co jest wysyłane na iline(at)irc.pl. Jeżeli któraś z klas adresowych już nie należy do PL i nikt tego nie zauważy to informacja o niej jest nieaktualna. Z automatu nie są one weryfikowane. Jest zasadnicza różnica pomiędzy "...jest nieaktualna" a "...może być nieaktualna (lecz wcale nie musi)".
Powtarzam zatem prośbę, podaj te nieaktualne wpisy (i nie po to by komukolwiek coś udowadniać a po to by bazę uaktualnić)
Dla rozjaśnienia: nie twierdę absolutnie, że baza jest w 100% poprawna, nie zgadzam sie natomiast ze stanowczym stwierdzeniem iż aktualna nie jest póki mi się palcem nie wskaże. Wtedy można wpis uaktualnic i wracamy do punktu wyjścia.
A wpisy są weryfikowane, może nie codziennie ale są ;-)

psych0l - 15-11-2008 00:13
update:

A jednak sa wyciete te ktore naprzyklad myslalem ze nie sa. Dobra nie ma tematu moze i jest to aktualna lista ;)

Cytat:
Zgadzam się z psych0lem, część informacji może być nieaktualna.
Lista jest budowana na podstawie tego, co jest wysyłane na iline(at)irc.pl. Jeżeli któraś z klas adresowych już nie należy do PL i nikt tego nie zauważy to informacja o niej jest nieaktualna. Dopisane klasy są bardzo rzadko weryfikowane, z pewnych względów nie da się tego robić automatem. Da sie niestety ;) Jak masz LIR-a w ripe to mozesz segregowac klasy na kraje i masz pokazane wszystkie aktualne klasy ktorzy operatorzy w danym kraju posiadaja :) Ogolnie jak masz operatorski dostep do RIPE to wiele rzeczy jest mozliwe z automatu.

kewals - 15-11-2008 11:30
Cytat:
update:

A jednak sa wyciete te ktore naprzyklad myslalem ze nie sa. Dobra nie ma tematu moze i jest to aktualna lista ;) Cieszę się, że w tej kwestii mamy zgodę ;-)

Cytat:
Da sie niestety ;) Jak masz LIR-a w ripe to mozesz segregowac klasy na kraje i masz pokazane wszystkie aktualne klasy ktorzy operatorzy w danym kraju posiadaja :) Ogolnie jak masz operatorski dostep do RIPE to wiele rzeczy jest mozliwe z automatu. Z tą automatyzacją to nie jest tak łatwo jak mogłoby się wydawać. Jedyna prostą metodą zakwalifikowania sieci do konkretnego kraju jest rekord 'country:' (w naszym przypadku 'country: PL'). Niestety RIPE nie weryfikuje swoich wpisów i niektóre sieci (adresy) znajdujące się fizycznie np. we Francji mają przypisane właśnie 'country: pl' a jako takie polskimi nie są więc na liście się nie znajdują (dodanie rekordu 'country: PL' nie czyni ich polska klasą adresową) - i takimi właśnie kryteriami wyboru kierują się autorzy opisywanej listy.
Jako przykład może posłużyć samo OVH, które posiada klasę: 87.98.232.0/21
Wpis w RIPE:

inetnum: 87.98.232.0 - 87.98.239.255
netname: PL-OVH
descr: OVH Sp. z o. o.
country: PL

Adresy te należą do puli określanej w OVH jako 'IP geograficzne'. Jednak maszyny, ktorę maja przypisane adresy z tej klasy (można sobie je dodać jako 'IP Failover' w managerze) leża fizycznie we francji i nie są zatem polską klasą adresową i oczywiście na liście nie są.
Podobnych przykładów jest więcej. Istnieją także klasy, które posiadają wpisy w RIPE ale nikt nigdy ich nie wykorzystał (nikt ich nigdy nie rozgłosił w BGP i nie można zweryfikować gdzie fizycznie znajduje się sieć) więc też ich nie ma na liście.
Właśnie dlatego wpisy w liście nie moga być generowane z automatu. Natomiast ich ręczna weryfikacja, póki co, okazuje się wystarczająca.