何以在Linux上按国别阻止互联网流量?

只需要构建xtables-addons模块,我在本教程中将介绍另一种基于iptables的GeoIP过滤机制,所有的上述情形都需要设置防火墙,你想阻止来自未知国家的 SSH,本教程就来介绍如何使用ntopng在Linux上配置基于Web的网络流量监控系统,提供基于web界面的实时网络流量监控

图片 2

用作一名保卫安全分娩情况Linux服务器的系统管理员,在有个别情形下,你需求基于地理地方,有采纳性地阻挠或允许互联网流量。举个例子说,你碰到了拒却服务攻击,那么些攻击首要根源在某一个国家注册的IP地址。在其它景况下,出于安全方面包车型大巴案由,你又想要阻止国外来路不明SSH登陆央浼;大概贵集团对在线录制具备发行权,由此只好够分发给一些国家;只怕出于地区节制方面的市廛政策,你必要防御地点主机将文书档案上传到非U.S.A.远程云存款和储蓄系统。

用作一名保卫安全 Linux
临蓐服务器的系统管理员,你恐怕会遇见这么一些景色:你须要总局理地点,选用性地阻断或同意互联网流量通过。
比如你正经历一回由注册在有些特定国家的 IP 发起的 DoS
攻击;大概依靠安全思虑,你想遏止来自未知国家的 SSH
登入哀告;又或许您的厂商对一些在线录制有分销权,它供给只好在特定的国家内合法发行;抑或是出于百货店的国策,你须求阻止有个别地点主机将文件上传至猖獗八个非花旗国的长间隔云端存储。

当你在本地网络监察和控制互联网流量,依据流量大小、监察和控制平台/接口、数据库类型等等,能够有过多两样的选项。

图片 1

图片 2

ntopng是一套开源(死守GPLv3协商)网络流量深入分析施工方案,提供依附web分界面包车型大巴实时网络流量监察和控制。扶持跨平台,饱含Linux和MacOS
X。ntopng相同于RMON远端互连网监督代理,具备内置的Web服务力量,使用Redis键值服务准期间体系存款和储蓄总计音讯。你能够在其余钦赐的督察服务器上安装ntopng,只需采纳任一web浏览器,就能够实时访谈服务器上的流量报告了。

持有那么些现象都急需能够设置多个防火墙,能够按国别对流量进行过滤。有二种方法能够成功这或多或少。比如说,你能够动用TCP包装器(TCP
wrapper卡塔尔(قطر‎,针对个别应用程序(比方SSH、NFS和httpdState of Qatar设置有标准的阻止。其劣势是,你想要尊崇的十三分应用程序在付出当初必需辅助TCP包装器。别的,TCP包装器并不是普及出以往区别的平台上(举例说,Arch
Linux已甘休对TCP包装器的协理卡塔尔。另一种办法正是,利用基于国家的吉优IP信息来安装ipset,然后将它接纳于iptables法规。后一种形式更有愿意,因为遵照iptables的过滤与应用程序毫不相关,何况便于设置。

具备的上述情景都亟待安装防火墙,使之富有基于国家职分过滤流量的机能。有多少个章程能够完毕那点,在那之中之一是您能够应用
TCP wrappers 来为某些应用(举个例子 SSH,NFS,
httpd)设置标准堵塞。但其症结是您想要保养的极度应用必得以援助 TCP
wrappers 的艺术营造。其它,TCP wrappers
并不总是能够在每一种平新北获取到(举例,Arch Linux
放弃了对它的支撑)。另一种方法是结合基于国家的
GeoIP 消息,设置
ipset,并将它利用到
iptables 的条条框框中。后一种办法看起来更有愿意一些,因为根据 iptables
的过滤器是与使用非亲非故的,且轻巧设置。

本学科就来介绍怎么样选用ntopng在Linux上安插基于Web的互联网流量监察和控制系统

自身在本教程少将介绍另一种基于iptables的GeoIP过滤机制,这种体制实施了xtables-addons。有个别读者对它还不熟谙,所以有尤为重要先介绍一下,xtables-addons是一套面向netfilter/iptables的扩充。xtables-addons内含了叁个名字为xt_geoip的模块,该模块扩大了netfilter/iptables的作用,能够遵照来自/目标地国家,过滤、NAT或管理数据包。就算你想使用xt_geoip,不需求再行编译内核或iptables,只供给营造xtables-addons模块,并行使当前的水源塑造景况(/lib/modules/`uname
-r`/buildState of Qatar。也没有供给重启。一旦你创设并安装好了xtables-addons,xt_geoip立时就足以与iptables结合使用。

在本教程中,作者将呈现 另三个依据 iptables 的 GeoIP 过滤器,它由
xtables-addons 来实现
。对于那一个不熟谙它的人来讲, xtables-addons
是用于 netfilter/iptables 的一密密层层扩充。叁个暗含在 xtables-addons
中的名称叫 xt_geoip 的模块扩张了 netfilter/iptables
的作用,使得它能够依赖流量来自或流向的国家来进展过滤,IP
掩蔽(NAT)或丢包。若您想选择 xt_geoip,你不要再度编写翻译内核或
iptables,你只需求动用当前的基石创设境况(/lib/modules/`uname
-r`/build)以模块的情势营造xtables-addons。同偶尔常候也没有必要实行重启。只要您创设并安装了 xtables-addons
, xt_geoip 便可以预知包容 iptables 使用。

ntopng的特性

  • 从数据流等第与协和等级对本地互联网流量实行实时深入分析
  • 援助域、AS(自制系统)与VLAN品级的总计解析
  • 扶助IP地址地理定位
  • 支撑基于“服务探寻”(比如Google、推文(Tweet))的深浅报文字笔迹查验测(DPI)
  • 野史流量解析(比如分别依据小时、日、周、月、年开展剖判)
  • 支撑sFlow、NetFlow(v5/v9版)以至依据nProbe的IPFIX
  • 网络流量矩阵(何人正在和何人谈话?)
  • 支持IPv6

至于xt_geoip和ipset之间的界别,官方来源(

至于 xt_geoip 和 ipset 之间的比较,xtables-addons
的官网
上是如此说的: 相比较于 ipset,xt_geoip
在内部存储器占用上更胜一筹,但对于相配速度,基于哈希的 ipset 大概更有优势。

在Linux上安装ntopng

法定网页上提供了针对Ubuntu和CentOS的二进制安装包。假设您使用的适逢其时是上述二者其一,况兼无意用源码安装,能够平昔到官方网址下载二进制文件包安装,并忽视这一小节上面包车型的士内容。

假定你想经过源码安装新型的ntopng,请继续往下看

假设你是Debian、Ubuntu或Linux Mint,施行以下命令:

$ sudo apt-get install libpcap-dev libglib2.0-dev libgeoip-dev
redis-server wget libxml2-dev
$ tar xzf ntopng-1.0.tar.gz -C ~
$ cd ~/ntopng-1.0/
$ ./configure
$ make geoip
$ make

下面的多少个步骤中,“make
geoip”将会活动通过wget从maxmind.com下载一个免费版的GeoIP数据库,由此,这里最佳确认保证您的种类能联网。

假使你是Fedora:

$ sudo yum install libpcap-devel glib2-devel GeoIP-devel libxml2-devel
libxml2-devel redis wget
$ tar xzf ntopng-1.0.tar.gz -C ~
$ cd ~/ntopng-1.0/
$ ./configure
$ make geoip
$ make

假定您是CentOS或RAV4HEL,首先设置EPEL
repository,然后再实践上边和Fedora同样的一声令下就足以。

越多详细的情况见请继续阅读下一页的精粹内容:

Nagios 的详尽介绍:请点这里
Nagios 的下载地址:请点这里

有关阅读:

互连网监察和控制器Nagios全计策

Nagios搭建与配置详细解释

Nginx景况下营造Nagios监控平台

在EvoqueHEL5.3上安排基本的Nagios系统(使用Nagios-3.1.2State of Qatar

CentOS 5.5+Nginx+Nagios监察和控制端和被控端安装配置指南

  • 1
  • 2
  • 下一页

ntopng是一套开源(遵循GPLv3左券…