Difference between revisions of "Xt geoip/fr"
m |
|||
Line 48: | Line 48: | ||
Créez un compte MaxMind (aucun achat nécessaire) sur https://dev.maxmind.com/geoip/geoip2/geolite2/ | Créez un compte MaxMind (aucun achat nécessaire) sur https://dev.maxmind.com/geoip/geoip2/geolite2/ | ||
− | Important - Notez les détails de votre connexion et en particulier votre identifiant et votre clé de licence. | + | {{Note box|type=Important - Notez les détails de votre connexion et en particulier votre identifiant et votre clé de licence.|}} |
− | Allez à « Services My Licence key » et générer une clé de | + | Allez à « Services My Licence key » et générer une clé de licence, notez soigneusement les détails de la clé, de multiple clés peuvent être créées, ces détails sont aussi utilisés dans la contribution smeserver-geoip. |
Les propriétés des configurations suivantes des clés et des valeurs seront utilisées pour alimenter la base de données de configuration de geoip pour les mises à jour à venir, voir ci-dessous : | Les propriétés des configurations suivantes des clés et des valeurs seront utilisées pour alimenter la base de données de configuration de geoip pour les mises à jour à venir, voir ci-dessous : | ||
Line 60: | Line 60: | ||
Vous pouvez avoir besoin de mettre à jour le serveur pour avoir la version 2.4.0-23 du paquet smeserver-yum ou vous recevrez une erreur à cause de l'absence d'une clé GPG. | Vous pouvez avoir besoin de mettre à jour le serveur pour avoir la version 2.4.0-23 du paquet smeserver-yum ou vous recevrez une erreur à cause de l'absence d'une clé GPG. | ||
− | Une base de données de configuration d'une autre contribution peut déjà être présente, vérifiez son existence par | + | Une base de données de configuration d'une autre contribution peut déjà être présente, vérifiez son existence par : |
# config show geoip | # config show geoip | ||
Line 66: | Line 66: | ||
status=enabled | status=enabled | ||
− | + | S'il n'y en a pas et que « LicenseKey » et « AccountID » NE sont PAS présents, effectuez ce qui suit : | |
− | db configuration setprop geoip LicenseKey " | + | db configuration setprop geoip LicenseKey "Votre_clef_de_licence" AccountID "Votre_identifiant_de_compte" |
− | + | Si la base de données de configuration n'est pas présente, elle a besoin d'être créée avec les clés et les propriétés suivantes : | |
− | db configuration set geoip service status enabled LicenseKey " | + | db configuration set geoip service status enabled LicenseKey "Votre_clef_de_licence" AccountID "Votre_identifiant_de_compte" |
+ | Vérification : | ||
# config show geoip | # config show geoip | ||
geoip=service | geoip=service | ||
Line 78: | Line 79: | ||
status=enabled | status=enabled | ||
− | + | Puis : | |
+ | <syntaxhighlight lang="bash"> | ||
modprobe xt_geoip | modprobe xt_geoip | ||
signal-event xt_geoip-update | signal-event xt_geoip-update | ||
Line 84: | Line 86: | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | + | Vous pourriez avoir des problèmes avec kmod qui ne remplit pas le dossier low-updates, ce qui entraîne que le module geoip n'est pas disponible (modprobe xt_geoip donnera une erreur et le panneau indiquera que iptable geoip ne fonctionne pas), si c'est le cas, exécutez simplement : | |
weak-modules --add-kernel | weak-modules --add-kernel | ||
=== Configuration === | === Configuration === | ||
− | + | Le moyen le plus simple devrait être d'utiliser le gestionnaire du serveur et d'utiliser la nouvelle entrée créée dans le panneau « Sécurité ». Là vous pourrez : | |
− | * | + | * configurer une liste de filtrage globale des pays ; vous pouvez soit accepter uniquement les pays définis, soit refuser les pays définis ; |
− | * | + | * configurer une liste d'exclusion par service (port) ; de même, vous pouvez soit accepter uniquement les pays définis, soit refuser les pays définis ; |
− | * | + | * configurez si vous souhaitez que le filtre global remplace la règle par service ou filtre uniquement tous les autres ports qui n'ont pas de règle géoIP spécifique. |
− | + | Le gestionnaire du serveur propose également des statistiques après les premières 24 heures. | |
− | ==== | + | ==== Propriétés globales du masque ==== |
− | + | Vous pouvez lister la configuration disponible avec la commande suivante : | |
config show masq | config show masq | ||
− | + | Certaines propriétés ne sont pas affichées, mais sont configurées pas défaut dans un modèle (template) ou un script. Voici une liste plus complète des valeurs par défaut et attendues : | |
{| class="wikitable" | {| class="wikitable" | ||
− | ! | + | !Propriété |
− | ! | + | !Par défaut |
− | ! | + | !Valeurs |
! | ! | ||
|- | |- | ||
|BadCountries | |BadCountries | ||
| | | | ||
− | | | + | |chaîne de caractères séparées par une virgule |
− | | | + | |liste des codes à 2 lettres des pays à bloquer pour le filtre global. Si elle est vide, le filtre global est désactivé, max. de 50 pays. |
|- | |- | ||
|GeoIP | |GeoIP | ||
|enabled | |enabled | ||
|enabled,disabled | |enabled,disabled | ||
− | | | + | |active ou désactive tous les services de filtrage de geoip (ie par service ET les règles globales). |
|- | |- | ||
|XtServices | |XtServices | ||
|imaps,pop3s,sshd,ftp,ssmtpd | |imaps,pop3s,sshd,ftp,ssmtpd | ||
− | | | + | |chaîne de caractères séparées par une virgule |
− | | | + | |liste des services existants dans la base de données de configuration avec des ports TCP définis. Vous pouvez écraser manuellement la liste pour ajouter vos propres services (voir ci-dessous). |
|- | |- | ||
|XTGeoipRev | |XTGeoipRev | ||
|disabled | |disabled | ||
|enabled,disabled | |enabled,disabled | ||
− | | | + | |si elle est activée, la liste "BadCountries" sera inversée ; en d'autres termes, seuls les pays de cette liste seront autorisés. Si la propriété est vide ou absente, sa valeur par défaut est à « disabled ». |
|- | |- | ||
|XTGeoipOther | |XTGeoipOther | ||
|disabled | |disabled | ||
|enabled,disabled | |enabled,disabled | ||
− | | | + | |si elle est activée, la règle globale sera seulement appliquée aux services/ports ayant une règle specifique définie par geoip. Si la propriété est vide ou absente, sa valeur par défaut est à « disabled ». |
|- | |- | ||
|XTlogmail | |XTlogmail | ||
|disabled | |disabled | ||
|enabled,disabled | |enabled,disabled | ||
− | | | + | |si elle est activée, la procédure journalière envoie des messages résumés à l'administrateur. Si la propriété est vide ou absente, sa valeur par défaut est à « disabled ». |
|} | |} | ||
Revision as of 14:19, 4 September 2023
xt geoip logo | |
Maintainer | mab974 |
---|---|
Url | https://wiki.contribs.org |
Category | |
Tags | ssh, geoip, iptables, firewall, geoip2 |
Mainteneur
Version
Description
Cette contribution installe xtables-addons (http://xtables-addons.sourceforge.net/geoip.php) sur le serveur Koozali SME 9.x.
Xtables-addons inclut xt_geoip utilisé dans cette contribution pour filtrer les paquets en fonction du pays d'où ils proviennent.
Installation
Créez un compte MaxMind (aucun achat nécessaire) sur https://dev.maxmind.com/geoip/geoip2/geolite2/
Allez à « Services My Licence key » et générer une clé de licence, notez soigneusement les détails de la clé, de multiple clés peuvent être créées, ces détails sont aussi utilisés dans la contribution smeserver-geoip.
Les propriétés des configurations suivantes des clés et des valeurs seront utilisées pour alimenter la base de données de configuration de geoip pour les mises à jour à venir, voir ci-dessous :
AccountID ####### LicenseKey xxxxxxxxxxxxxxx
yum --enablerepo=smecontribs install smeserver-xt_geoip
Vous pouvez avoir besoin de mettre à jour le serveur pour avoir la version 2.4.0-23 du paquet smeserver-yum ou vous recevrez une erreur à cause de l'absence d'une clé GPG.
Une base de données de configuration d'une autre contribution peut déjà être présente, vérifiez son existence par :
# config show geoip geoip=service status=enabled
S'il n'y en a pas et que « LicenseKey » et « AccountID » NE sont PAS présents, effectuez ce qui suit :
db configuration setprop geoip LicenseKey "Votre_clef_de_licence" AccountID "Votre_identifiant_de_compte"
Si la base de données de configuration n'est pas présente, elle a besoin d'être créée avec les clés et les propriétés suivantes :
db configuration set geoip service status enabled LicenseKey "Votre_clef_de_licence" AccountID "Votre_identifiant_de_compte"
Vérification :
# config show geoip geoip=service AccountID=xxxxxx LicenseKey=xxxxxxxxxxxxxxx status=enabled
Puis :
modprobe xt_geoip
signal-event xt_geoip-update
config set UnsavedChanges no
Vous pourriez avoir des problèmes avec kmod qui ne remplit pas le dossier low-updates, ce qui entraîne que le module geoip n'est pas disponible (modprobe xt_geoip donnera une erreur et le panneau indiquera que iptable geoip ne fonctionne pas), si c'est le cas, exécutez simplement :
weak-modules --add-kernel
Configuration
Le moyen le plus simple devrait être d'utiliser le gestionnaire du serveur et d'utiliser la nouvelle entrée créée dans le panneau « Sécurité ». Là vous pourrez :
- configurer une liste de filtrage globale des pays ; vous pouvez soit accepter uniquement les pays définis, soit refuser les pays définis ;
- configurer une liste d'exclusion par service (port) ; de même, vous pouvez soit accepter uniquement les pays définis, soit refuser les pays définis ;
- configurez si vous souhaitez que le filtre global remplace la règle par service ou filtre uniquement tous les autres ports qui n'ont pas de règle géoIP spécifique.
Le gestionnaire du serveur propose également des statistiques après les premières 24 heures.
Propriétés globales du masque
Vous pouvez lister la configuration disponible avec la commande suivante :
config show masq
Certaines propriétés ne sont pas affichées, mais sont configurées pas défaut dans un modèle (template) ou un script. Voici une liste plus complète des valeurs par défaut et attendues :
Propriété | Par défaut | Valeurs | |
---|---|---|---|
BadCountries | chaîne de caractères séparées par une virgule | liste des codes à 2 lettres des pays à bloquer pour le filtre global. Si elle est vide, le filtre global est désactivé, max. de 50 pays. | |
GeoIP | enabled | enabled,disabled | active ou désactive tous les services de filtrage de geoip (ie par service ET les règles globales). |
XtServices | imaps,pop3s,sshd,ftp,ssmtpd | chaîne de caractères séparées par une virgule | liste des services existants dans la base de données de configuration avec des ports TCP définis. Vous pouvez écraser manuellement la liste pour ajouter vos propres services (voir ci-dessous). |
XTGeoipRev | disabled | enabled,disabled | si elle est activée, la liste "BadCountries" sera inversée ; en d'autres termes, seuls les pays de cette liste seront autorisés. Si la propriété est vide ou absente, sa valeur par défaut est à « disabled ». |
XTGeoipOther | disabled | enabled,disabled | si elle est activée, la règle globale sera seulement appliquée aux services/ports ayant une règle specifique définie par geoip. Si la propriété est vide ou absente, sa valeur par défaut est à « disabled ». |
XTlogmail | disabled | enabled,disabled | si elle est activée, la procédure journalière envoie des messages résumés à l'administrateur. Si la propriété est vide ou absente, sa valeur par défaut est à « disabled ». |
To override the list of services (XtServices) : click on the button under the table of managed services. You get a panel with a list of all existing services (tcp) on the server. You can then (un)select [ctrl-click] and obtain your own services.
NOTE: masq is a the entry fo the SME firewall, there are plenty of other property for this key, please refer to manual. Only properties added by this contrib are referenced here.
NOTE2: Only Xtlogmail is not configurable using the Server-Manager.
per service properties
you can list the available configuration with the following command :
config show servicename
For the different services you will also encounter those properties
property | default | values | |
---|---|---|---|
BadCountries | A1 | coma separated strings | list of 2 letters countries to block for this specific service. If empty the global filter is deactivated, max of 50 countries |
XTGeoipRev | disabled | enabled,disabled | if enabled the "BadCountries" list will be reversed match, in other words only countries in this list will be allowed. If the property is empty or missing, its value is defaulted to disabled. |
XTGeoipOther | disabled | enabled,disabled | if enabled the global rule will apply only to services/ports with a specific geoip defined rule. If the property is empty or missing, its value is defaulted to disabled. |
NOTE: All services have their own specific properties, please refer to manual. Only properties added by this contrib are referenced here.
Abbreviated Country Code List
(This list is available with a click on the first panel)
A1 Anonymous Proxy A2 Satellite Provider AC Ascension Island AD Andorra AE United Arab Emirates AERO members of the air-transport industry AF Afghanistan AG Antigua and Barbuda AI Anguilla AL Albania AM Armenia AN Netherlands Antilles (being phased out) AO Angola AQ Antarctica AP Asia/Pacific AR Argentina AS American Samoa ASIA Restricted to the Pan-Asia and Asia Pacific community AT Austria AU Australia AW Aruba AX Aland Islands AZ Azerbaijan BA Bosnia and Herzegovina BB Barbados BD Bangladesh BE Belgium BF Burkina Faso BG Bulgaria BH Bahrain BI Burundi BIZ Restricted for Business BJ Benin BL Saint Barthelemy BM Bermuda BN Brunei Darussalam BO Bolivia BQ Bonaire, Sint Eustatius and Saba BR Brazil BS Bahamas BT Bhutan BV Bouvet Island BW Botswana BY Belarus BZ Belize CA Canada CC Cocos (Keeling) Islands CD Congo, The Democratic Republic of the CF Central African Republic CG Congo CH Switzerland CI Cote d'Ivoire CK Cook Islands CL Chile CM Cameroon CN China CO Colombia COM Generic top-level domain COOP cooperative associations CR Costa Rica CU Cuba CV Cape Verde CW Curaçao CX Christmas Island CY Cyprus CZ Czech Republic DE Germany DJ Djibouti DK Denmark DM Dominica DO Dominican Republic DZ Algeria EC Ecuador EDU Educational Institutions EE Estonia EG Egypt EH Western Sahara ER Eritrea ES Spain ET Ethiopia EU European Union FI Finland FJ Fiji FK Falkland Islands (Malvinas) FM Micronesia, Federated States of FO Faroe Islands FR France GA Gabon GB United Kingdom GD Grenada GE Georgia GF French Guiana GG Guernsey GH Ghana GI Gibraltar GL Greenland GM Gambia GN Guinea GOV United States Government GP Guadeloupe GQ Equatorial Guinea GR Greece GS South Georgia and the South Sandwich Islands GT Guatemala GU Guam GW Guinea-Bissau GY Guyana HK Hong Kong HM Heard Island and McDonald Islands HN Honduras HR Croatia HT Haiti HU Hungary ID Indonesia IE Ireland IL Israel IM Isle of Man IN India INFO Generic top-level domain IO British Indian Ocean Territory IQ Iraq IR Iran, Islamic Republic of IS Iceland IT Italy JE Jersey JM Jamaica JO Jordan JOBS Reserved to serve needs of the international human resource management community JP Japan KE Kenya KG Kyrgyzstan KH Cambodia KI Kiribati KM Comoros KN Saint Kitts and Nevis KP Korea, Democratic People's Republic of KR Korea, Republic of KW Kuwait KY Cayman Islands KZ Kazakhstan LA Lao People's Democratic Republic LB Lebanon LC Saint Lucia LI Liechtenstein LK Sri Lanka LR Liberia LS Lesotho LT Lithuania LU Luxembourg LV Latvia LY Libyan Arab Jamahiriya MA Morocco MC Monaco MD Moldova, Republic of ME Montenegro MF Saint Martin (French part) MG Madagascar MH Marshall Islands MIL United States Military MK Macedonia, The Former Yugoslav Republic of ML Mali MM Myanmar MN Mongolia MO Macao MOBI consumers and providers of mobile products and services MP Northern Mariana Islands MQ Martinique MR Mauritania MS Montserrat MT Malta MU Mauritius MUSEUM museums MV Maldives MW Malawi MX Mexico MY Malaysia MZ Mozambique NA Namibia NAME individuals NC New Caledonia NE Niger NET Generic top-level domain NF Norfolk Island NG Nigeria NI Nicaragua NL Netherlands NO Norway NP Nepal NR Nauru NU Niue NZ New Zealand OM Oman ORG Generic top-level domain PA Panama PE Peru PF French Polynesia PG Papua New Guinea PH Philippines PK Pakistan PL Poland PM Saint Pierre and Miquelon PN Pitcairn PR Puerto Rico PRO Restricted to credentialed professionals and related entities PS Palestinian Territory, Occupied PT Portugal PW Palau PY Paraguay QA Qatar RE Reunion RO Romania RS Serbia RU Russian Federation RW Rwanda SA Saudi Arabia SB Solomon Islands SC Seychelles SD Sudan SE Sweden SG Singapore SH Saint Helena SI Slovenia SJ Svalbard and Jan Mayen SK Slovakia SL Sierra Leone SM San Marino SN Senegal SO Somalia SR Suriname SS South Sudan ST Sao Tome and Principe SU Soviet Union (being phased out) SV El Salvador SX Saint Maarten (Dutch part) SY Syrian Arab Republic SZ Swaziland TC Turks and Caicos Islands TD Chad TEL businesses and individuals to publish their contact data TF French Southern Territories TG Togo TH Thailand TJ Tajikistan TK Tokelau TL Timor-Leste TM Turkmenistan TN Tunisia TO Tonga TP Portuguese Timor (being phased out) TR Turkey TRAVEL entities whose primary area of activity is in the travel industry TT Trinidad and Tobago TV Tuvalu TW Taiwan, Province of China TZ Tanzania, United Republic of UA Ukraine UG Uganda UK United Kingdom UM United States Minor Outlying Islands US United States UY Uruguay UZ Uzbekistan VA Holy See (Vatican City State) VC Saint Vincent and the Grenadines VE Venezuela, Bolivarian Republic of VG Virgin Islands, British VI Virgin Islands, US VN Viet Nam VU Vanuatu WF Wallis and Futuna WS Samoa XXX the adult entertainment community YE Yemen YT Mayotte ZA South Africa ZM Zambia ZW Zimbabwe
Country Code Info Source:
http://en.wikipedia.org/wiki/ISO_3166-1 http://en.wikipedia.org/wiki/ISO_3166-1_alpha-2#Officially_assigned_code_elements
Uninstall
yum remove smeserver-xt_geoip xtables-addons xtables-addons-kmod
Bugs
Please raise bugs under the SME-Contribs section in bugzilla and select the smeserver-xt_geoip component or use this link
Below is an overview of the current issues for this contrib:
ID | Product | Version | Status | Summary (4 tasks) ⇒ |
---|---|---|---|---|
12445 | SME Contribs | 10.0 | CONFIRMED | NFR do not block remote access authorized |
12438 | SME Contribs | 10.0 | CONFIRMED | wrong path to event /etc/e-smith/events/remote-access-update/ |
12418 | SME Contribs | 10.0 | CONFIRMED | smeserver-xt_geoip NFR Add UDP support |
10787 | SME Contribs | 9.2 | CONFIRMED | avoid masq restart and events optimisation |
Journal des modifications
Seules les versions publiées dans smecontrib sont listées ici.
- Edit SM2 Menu entry to conform to new arrangements [SME: 12493]
- fix module not loaded after update [SME: 10793]
2023/01/11 Michel Begue 1.3.1-18.sme
- add a message if module xt_geoip is missing or not loaded [SME: 12291]
- apply locale 2022-11-11 patch
- add fail2ban stats [SME: 12098]