Recomplier nginx avec http_geoip_module

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Recomplier nginx avec http_geoip_module

ex_rat

Salut

Cette nuit j'ai eu quelques soucis venant de Chine, ça a tapé assez fort. Pas trop possible de jouer avec fail2ban :

"3\x0C`J\xC8\xC60t\xFB\x1D8S.\xCDt\x9D\xBAZ\3 kilomètres de long...\" 400 166 "-" "-"

Début de ligne totalement aléatoire, ip différentes à chaque fois... Ça fait plusieurs jours que ça dure et ça augmente un peu à chaque fois.

Donc je voudrais bloquer la Chine et Taiwan, j'ai cherché et je suis tombé la dessus :
how-to-block-visitors-by-country-with-the-geoip-module-debian-ubuntu
Vu qu'on a bien les bases GeoIP (à jour avec le script que j'avais posté dans "tuto"), ça pourrait réglé le soucis.

Problème, avec la commande nginx -V je vois qu'on a pas le module --with-http_geoip_module.
Comment recompiler nginx pour avoir ça ? aucune idées de comment on fait ça et je voudrais pas tout ruiner directement

Le but étant d'ajouter dans nginx.conf :

geoip_country /usr/share/GeoIP/GeoIP.dat;
    map $geoip_country_code $allowed_country {
        default yes;
        CN no;
        TW no;
        # Et plus si affinité
    }

Et dans les vhosts :

  if ($allowed_country = no) {
            return 444; # Ou 403
        }

Ex.

Edit: Au fil de mes recherches, j'arrive à ça :

aptitude install libgeoip-dev

cd /tmp

wget http://nginx.org/download/nginx-1.5.12.tar.gz

tar xvfvz nginx-1.5.12.tar.gz

cd nginx-1.5.12

./configure --with-http_geoip_module

make

make install

+ une modification en /etc/init.d/nginx mais j'ai pas plus d'infos la dessus

Ça vous parait comment cette affaire ? le ./configure me parait light...

Wagner

Bonjour,

déjà il va falloir désinstaller Nginx. Ensuite, il faudra le réinstaller mais en le compilant.
Donc, il faut procéder comme tel :
1) Télécharger Nginx (la source)
2) Extraire Nginx
3) Compiler Nginx :

cd nginx-1.5.12
./configure --with-http_geoip_module
# Permet d'ajouter le module GeoIP au sein de Nginx
make

4) Installer Nginx :

make install

Ceci est une base de départ. Il faudra adapter la 3ème partie "Compiler Nginx" afin de l'avoir en complet (PCRE, SSL etc). De plus, il aura certainement des choses à ajouter concernant GeoIP (MaxMind GeoIP library etc). Je ne connais pas bien ce dernier...

Voici les sources concernant ce sujet :
Site Nginx - L'installer en compilant
Site Nginx - Module GeoIP (ngx_http_geoip_module)
Wiki Nginx - Tout sur l'installation
Wiki Nginx - module GeoIP
Wiki Nginx - Les modules

PS : Je ne pense pas qu'il soit possible de faire autrement...À moins qu'il existe un package qui intègre ce module nativement ?

Edit :

ex_rat wrote:Ça vous parait comment cette affaire ? le ./configure me parait light...

Je viens de voir l'édit et ça me semble en bonne voie 🙂. Par contre, oui c'est très light. Il y a pas mal de choses à prendre en compte. Donc, il faudra le combler afin d'y ajouter tout ce qu'il faut (PCRE, SSL etc). C'est à définir selon les besoins et les éléments obligatoire (par défaut comme le PCRE etc).

ex_rat

Merci Wagner
Il parle juste de module additionnel et je trouve pas 2 tutos qui partent dans le même sens, du coup je recoupe un peu

Pour geoip, il n'y a l'air de manquer que la dépendance du début de mon édit, j'ai déjà les tables en place.
Je vais tenter le coup en local pour voir dès que j'ai le temps parce que je le sens moyen là

Ex.

Edit: sur certain tuto, ça donne plutot ça:

./configure --with-http_geoip_module --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-mail --with-mail_ssl_module --with-file-aio --with-ipv6

Ce qui n'est pas tout à fait pareil

Wagner

De rien ex_rat. Je vois :/, après si jamais tu hésite, base toi sur le site de Nginx. De nos jours, c'est la référence pour la doc officielle et à jour. Le wiki peut s'avérer un bon complément.
C'est déjà ça, enfin j'espère et oui je comprends

Oui, ça varie car au fil du temps Nginx à évolué. Si tu veux rendre ça plus lisible, utilise le \ comme ceci :

./configure --with-http_geoip_module --with-http_ssl_module \
--with-pcre=Full/Path/To/pcre \
--with-zlib=Full/Path/To/zlib \
-- etc

Tu peux le modifier et le relancer (par le make) à ta guise. Rien ne s'installera tant que tu ne lancera pas l'installation (4ème partie). Ainsi, tu pourra voir pour régler les éventuelles messages d'erreur.

Magicalex

Je te conseil pas de recompiler nginx et d'utiliser nginx pour faire ce genre de chose. C'est pas son boulot à lui.
Pour contre iptable lui c'est son boulot, il peut te bannir des plages d'ip très facilement.

ex_rat

Bon on va voir tout ça, je vais prendre le temps de farfouiller un peu sur iptables aussi alors...
L'avantage de la solution nginx, c'était la souplesse des CN etc... un coup de restart et hop on ajoute un RU ou autres !
C'était plus sexy

Ex.

Magicalex

ex_rat wrote:Bon on va voir tout ça, je vais prendre le temps de farfouiller un peu sur iptables aussi alors...
L'avantage de la solution nginx, c'était la souplesse des CN etc... un coup de restart et hop on ajoute un RU ou autres !
C'était plus sexy
Ex.

surtout que le parfeu c'est géré par le noyau donc ça consommera beaucoup moins de ressource.

faire travailler iptable et geoip ensemble?
http://terminal28.com/how-to-block-countries-using-iptables-debian/
http://forum.kimsufi.com/showthread.php?21187-TUTO-Module-GeoIP-pour-iptables-sur-debian

inspire toi des tutos, ne copie colle pas.

ex_rat

Magicalex wrote:Inspire toi des tutos, ne copie colle pas.

Dommage qu'Hugo Boss l'ai déjà un peu faites avec " N'imitez pas : innovez ! ", ça aurait presque pu faire une chouette légende pour le site ça

Ex.

ex_rat

Bon je vous tiens au courant... Alors j'ai bossé un peu la question iptables geoip.

J'ai réussi en local à faire un truc assez sympa sans soucis, persistance des règles au reboot + adaptation du script de mise à jours mensuel de geopip pour qu'il update les deux en même temps, bref c'était nickel...
Comme d'hab' je note toute la manip' tant que c'est chaud, je décide de tester la chose sur un Kim et paf dans le museau... iptables refuse ma règle

iptables -A INPUT -m geoip --src-cc CN,TW,RU -j DROP

réponse:

iptables: No chain/target/match by that name.

En retournant Google sur le problème, tout me ramène à un soucis par rapport au noyau "spécial" Ovh qui recrache les modules à l'install (et ça à l'air d'être fréquent), plus une histoire de linux-header introuvable qu'Ovh ne fournirait pas.
Pourtant j'ai eu aucune erreur à la mise en place du truc, tout me répond que c'est bien installé.

Ça sent la bonne galère cette affaire, on est pas près d'avoir un tuto anti-chinois là

Enfin je continue, on verra bien s'il en sort quelque chose !
Ex.

Magicalex

ce tuto explique comment changer le kernel ovh par celui de debian
http://blog.nicolasc.eu/mongodb-sur-un-kimsufi-ovh/

ex_rat

Merci je vais tenter le coup dès que j'ai 5 minutes, on verra bien.
Par contre, difficile de tutoriser la chose avec le changement de kernel, ça risque d'être un peu trop casse gueule...
Ou alors avec une balise {Aventurier} dans le titre

Bon, je ferais remonter la suite !
Ex.

ex_rat

Ca marche ! "mondedie.fr ftw"

Alors je vais mettre la procédure en dessous, y'a surement quelques lurkeurs fous qui voudront tenter le coup...
Donc en préambule, ça tourne sur un petit kim 7.04/64 bien à jours, pas testé sur dedibox. Ça date de ce matin, j'ai aucun recul la dessus.
Juste eu un lock de rtorrent à force de reboot, vite résolu avec la manip' habituelle.

On commence par regarder notre kernel:

uname -r

chez moi ça donnait: 3.10.9-xxxx-grs-ipv6-64
Ca ne fonctionne pas avec un kernel "ovh", il faut passer sur du standard debian.

Pour voir ce qu'on a de dispo:

aptitude search linux-image

Il propose plein de truc:

v linux-image -
p linux-image-2.6-amd64 - Linux for 64-bit PCs (dummy package)
i linux-image-3.2.0-4-amd64 - Linux 3.2 for 64-bit PCs
p linux-image-3.2.0-4-amd64-dbg - Debugging symbols for Linux 3.2.0-4-amd64
p linux-image-3.2.0-4-rt-amd64 - Linux 3.2 for 64-bit PCs, PREEMPT_RT
p linux-image-3.2.0-4-rt-amd64-dbg - Debugging symbols for Linux 3.2.0-4-rt-amd64
p linux-image-amd64 - Linux for 64-bit PCs (meta-package)
p linux-image-rt-amd64 - Linux for 64-bit PCs (meta-package), PREEMPT_RT

J'ai suivi le tuto d'origine en choisissant => linux-image-3.2.0-4-amd64
donc c'est parti:

cd /etc/grub.d/

Un backup même si je connais pas le process de retour en arrière

mv 06_OVHkernel 11_OVHkernel

on installe le nouveau kernel:

aptitude install linux-image-3.2.0-4-amd64

On met à jour grub:

grub-mkconfig

update-grub2

et on reboot en serrant les fesses:

reboot

une fois redémarré, on vérifie

uname -r

là je me suis retrouvé avec un kernel "rt": 3.2.0-4-rt-amd64
j'ai été aux nouvelles, ça a pas l'air d'être un soucis, bref... https://fr.wikipedia.org/wiki/Linux-rt

On va pouvoir attaquer l'histoire geoip

On installe les paquets (un mix de deux tutos différents). Je l'ai fais en deux fois sinon ça posait un soucis.

apt-get install dkms module-assistant xtables-addons-common geoip-database libgeoip1 libtext-csv-xs-perl

apt-get install xtables-addons-dkms linux-headers-$(uname -r)

On vérifie que c'est ok:

dkms status xtables-addons

réponse:

xtables-addons, 1.42, 3.2.0-4-rt-amd64, x86_64: installed

On crée le répertoire

mkdir /usr/share/xt_geoip

On se déplace dedans

cd /usr/share/xt_geoip

On télécharge le fichier

wget http://www.ratbox.nl/md/geoip-dl-build.tar.gz

On le décompresse

tar xvf geoip-dl-build.tar.gz

On l’exécute

./xt_geoip_dl

Si cela donne un message d'erreur on fait ceci:
/usr/bin/perl -MCPAN -e'install Text::CSV_XS'

On exécute l'autre fichier

./xt_geoip_build -D . *.csv

On efface les fichiers inutiles

rm -rf geoip-dl-build.tar.gz

normalement on doit être bon, on va balancer une règle iptables pour kicker la Chine, la Russie et Taiwan (on est limité à 10 pays maximum)
Ca marche avec des codes à deux lettres, Liste complète ici, bloquez pas n'importe quoi non plus !

La règle (moi je bloque tout ça...):

iptables -A INPUT -m geoip --src-cc CN,BR,IN,RU,PL,TH,TW,KR,UA -j DROP

Si pas de message d'erreur c'est que tout c'est bien passé.

on vérifie:

iptables -L

Vous devez avoir ça:

DROP all -- anywhere anywhere -m geoip --source-country CN,TW,RU

donc là les affreux passent plus mais si on reboot la machine la règle est perdu, pour sauvegarder tout ça:

apt-get install iptables-persistent

L'install pose 2 questions pour sauvegarder les regles en cours, on répond "yes" et ça fini

Pour sauvegarder de la même façon des règles ajouté plus tard, il faudra faire:

iptables-save > /etc/iptables/rules.v4

rules.4 et rules.v6 sont lu à chaque démarrage pour restaurer les régles iptables.

J'ai aussi un script de mise à jours mensuel des bases GeoIP que j'ai adapté au truc, si quelqu’un était intéressé faites moi signe.

C'est important d'être à jour la dessus. Exemple, quand ovh a lancé son adsl, ils nous ont refilés d'anciennes IP Russes et c'était pas la joie avec les sites pas à jours donc avec un firewall...

Pour les aventuriers, cassez pas tout quand même, je décline toutes responsabilités

Ex.

Magicalex

Yes

Perso j'ai un peu la flemme de me battre contre les chinois lol

Mais le petit tuto est super intéressant!
Ps: tu peux en faire un tuto ou article à toi de voir.

Wagner

Merci pour le retour ex_rat. Par contre, il y a une raison particulière pour avoir installer cette version du noyau ? La dernière version en date est la 3.14.

ex_rat

Pour la version de kernel, je connais pas bien et c'est la seul que me proposait "aptitude search linux-image", alors je me suis pas posé de question.
Faudra que je vois en local ce que ça raconte. Au passage je viens de vérifier et le dedibox est en 3.2.0-4-amd64 d'origine donc ça devrait tourner sans manip', je vais tenter rapidement

Pour mettre ça au propre je vais attendre de voir si tout roule quelques temps mais ouais ça peut faire un tuto choupie

Tous ensemble contre les chinois !

Ex.

Wagner

Ok merci ex_rat, je me disais que c'était éventuellement pour cette raison. Je pense que tu devrais voir à l'ajouter dans ton futur tutoriel. Je me dis que cela sera probablement utile.

Magicalex

Compiler un noyau est loin d'être simple, ça apporte plus de problème que autre chose.
Je laisse ce genre de chose à l'équipe debian perso.

bigfoot64

Bonsoir à tous,

Je me permets de rebondir sur ce sujet car j'ai installer Mon serveur avec la version La Seedbox pour les Nuls 😛

Je souhaiterais mettre aussi une exception pour les Pays étranger qui souhaiteraient venir sur mon Serveur.

J'ai commencer à partir de la création du répertoire xt_geoip

A la fin quand je rentre la commande :

iptables -A INPUT -m geoip --src-cc CN,BR,IN,RU,PL,TH,TW,KR,UA -j DROP

On me retourne le message d'erreur ci dessous :

iptables v1.4.21: Couldn't load match `geoip':No such file or directory

J'ai commencé à regarder sur le net mais c'est loin d’être évident.. pour mon niveau.

Est ce que quelqu'un peut m'aiguiller ?

Merci à vous.