[Shorewall-users] shorewall and geoip

Vieri Di Paola Tue, 21 Feb 2017 05:08:33 -0800

Hi,

I'm trying to block hosts accessing from some GeoIP IP address ranges.


For instance, I'm unable to block host with src IP address 180.97.106.162.

I installed the GeoIP database in:

# ls /usr/share/xt_geoip/LE/
A1.iv4  BH.iv4  CO.iv4  FO.iv4  HU.iv4  KZ.iv4  MQ.iv4  PF.iv4  SI.iv4  TR.iv4
A1.iv6  BH.iv6  CO.iv6  FO.iv6  HU.iv6  KZ.iv6  MQ.iv6  PF.iv6  SI.iv6  TR.iv6
A2.iv4  BI.iv4  CR.iv4  FR.iv4  ID.iv4  LA.iv4  MR.iv4  PG.iv4  SJ.iv4  TT.iv4
A2.iv6  BI.iv6  CR.iv6  FR.iv6  ID.iv6  LA.iv6  MR.iv6  PG.iv6  SJ.iv6  TT.iv6
AD.iv4  BJ.iv4  CU.iv4  GA.iv4  IE.iv4  LB.iv4  MS.iv4  PH.iv4  SK.iv4  TV.iv4
AD.iv6  BJ.iv6  CU.iv6  GA.iv6  IE.iv6  LB.iv6  MS.iv6  PH.iv6  SK.iv6  TV.iv6
AE.iv4  BL.iv4  CV.iv4  GB.iv4  IL.iv4  LC.iv4  MT.iv4  PK.iv4  SL.iv4  TW.iv4
AE.iv6  BL.iv6  CV.iv6  GB.iv6  IL.iv6  LC.iv6  MT.iv6  PK.iv6  SL.iv6  TW.iv6
AF.iv4  BM.iv4  CW.iv4  GD.iv4  IM.iv4  LI.iv4  MU.iv4  PL.iv4  SM.iv4  TZ.iv4
AF.iv6  BM.iv6  CW.iv6  GD.iv6  IM.iv6  LI.iv6  MU.iv6  PL.iv6  SM.iv6  TZ.iv6
AG.iv4  BN.iv4  CX.iv4  GE.iv4  IN.iv4  LK.iv4  MV.iv4  PM.iv4  SN.iv4  UA.iv4
AG.iv6  BN.iv6  CX.iv6  GE.iv6  IN.iv6  LK.iv6  MV.iv6  PM.iv6  SN.iv6  UA.iv6
AI.iv4  BO.iv4  CY.iv4  GF.iv4  IO.iv4  LR.iv4  MW.iv4  PN.iv4  SO.iv4  UG.iv4
AI.iv6  BO.iv6  CY.iv6  GF.iv6  IO.iv6  LR.iv6  MW.iv6  PN.iv6  SO.iv6  UG.iv6
AL.iv4  BQ.iv4  CZ.iv4  GG.iv4  IQ.iv4  LS.iv4  MX.iv4  PR.iv4  SR.iv4  UM.iv4
AL.iv6  BQ.iv6  CZ.iv6  GG.iv6  IQ.iv6  LS.iv6  MX.iv6  PR.iv6  SR.iv6  UM.iv6
AM.iv4  BR.iv4  DE.iv4  GH.iv4  IR.iv4  LT.iv4  MY.iv4  PS.iv4  SS.iv4  US.iv4
AM.iv6  BR.iv6  DE.iv6  GH.iv6  IR.iv6  LT.iv6  MY.iv6  PS.iv6  SS.iv6  US.iv6
AO.iv4  BS.iv4  DJ.iv4  GI.iv4  IS.iv4  LU.iv4  MZ.iv4  PT.iv4  ST.iv4  UY.iv4
AO.iv6  BS.iv6  DJ.iv6  GI.iv6  IS.iv6  LU.iv6  MZ.iv6  PT.iv6  ST.iv6  UY.iv6
AP.iv4  BT.iv4  DK.iv4  GL.iv4  IT.iv4  LV.iv4  NA.iv4  PW.iv4  SV.iv4  UZ.iv4
AP.iv6  BT.iv6  DK.iv6  GL.iv6  IT.iv6  LV.iv6  NA.iv6  PW.iv6  SV.iv6  UZ.iv6
AQ.iv4  BW.iv4  DM.iv4  GM.iv4  JE.iv4  LY.iv4  NC.iv4  PY.iv4  SX.iv4  VA.iv4
AQ.iv6  BW.iv6  DM.iv6  GM.iv6  JE.iv6  LY.iv6  NC.iv6  PY.iv6  SX.iv6  VA.iv6
AR.iv4  BY.iv4  DO.iv4  GN.iv4  JM.iv4  MA.iv4  NE.iv4  QA.iv4  SY.iv4  VC.iv4
AR.iv6  BY.iv6  DO.iv6  GN.iv6  JM.iv6  MA.iv6  NE.iv6  QA.iv6  SY.iv6  VC.iv6
AS.iv4  BZ.iv4  DZ.iv4  GP.iv4  JO.iv4  MC.iv4  NF.iv4  RE.iv4  SZ.iv4  VE.iv4
AS.iv6  BZ.iv6  DZ.iv6  GP.iv6  JO.iv6  MC.iv6  NF.iv6  RE.iv6  SZ.iv6  VE.iv6
AT.iv4  CA.iv4  EC.iv4  GQ.iv4  JP.iv4  MD.iv4  NG.iv4  RO.iv4  TC.iv4  VG.iv4
AT.iv6  CA.iv6  EC.iv6  GQ.iv6  JP.iv6  MD.iv6  NG.iv6  RO.iv6  TC.iv6  VG.iv6
AU.iv4  CC.iv4  EE.iv4  GR.iv4  KE.iv4  ME.iv4  NI.iv4  RS.iv4  TD.iv4  VI.iv4
AU.iv6  CC.iv6  EE.iv6  GR.iv6  KE.iv6  ME.iv6  NI.iv6  RS.iv6  TD.iv6  VI.iv6
AW.iv4  CD.iv4  EG.iv4  GS.iv4  KG.iv4  MF.iv4  NL.iv4  RU.iv4  TF.iv4  VN.iv4
AW.iv6  CD.iv6  EG.iv6  GS.iv6  KG.iv6  MF.iv6  NL.iv6  RU.iv6  TF.iv6  VN.iv6
AX.iv4  CF.iv4  ER.iv4  GT.iv4  KH.iv4  MG.iv4  NO.iv4  RW.iv4  TG.iv4  VU.iv4
AX.iv6  CF.iv6  ER.iv6  GT.iv6  KH.iv6  MG.iv6  NO.iv6  RW.iv6  TG.iv6  VU.iv6
AZ.iv4  CG.iv4  ES.iv4  GU.iv4  KI.iv4  MH.iv4  NP.iv4  SA.iv4  TH.iv4  WF.iv4
AZ.iv6  CG.iv6  ES.iv6  GU.iv6  KI.iv6  MH.iv6  NP.iv6  SA.iv6  TH.iv6  WF.iv6
BA.iv4  CH.iv4  ET.iv4  GW.iv4  KM.iv4  MK.iv4  NR.iv4  SB.iv4  TJ.iv4  WS.iv4
BA.iv6  CH.iv6  ET.iv6  GW.iv6  KM.iv6  MK.iv6  NR.iv6  SB.iv6  TJ.iv6  WS.iv6
BB.iv4  CI.iv4  EU.iv4  GY.iv4  KN.iv4  ML.iv4  NU.iv4  SC.iv4  TK.iv4  YE.iv4
BB.iv6  CI.iv6  EU.iv6  GY.iv6  KN.iv6  ML.iv6  NU.iv6  SC.iv6  TK.iv6  YE.iv6
BD.iv4  CK.iv4  FI.iv4  HK.iv4  KP.iv4  MM.iv4  NZ.iv4  SD.iv4  TL.iv4  YT.iv4
BD.iv6  CK.iv6  FI.iv6  HK.iv6  KP.iv6  MM.iv6  NZ.iv6  SD.iv6  TL.iv6  YT.iv6
BE.iv4  CL.iv4  FJ.iv4  HN.iv4  KR.iv4  MN.iv4  OM.iv4  SE.iv4  TM.iv4  ZA.iv4
BE.iv6  CL.iv6  FJ.iv6  HN.iv6  KR.iv6  MN.iv6  OM.iv6  SE.iv6  TM.iv6  ZA.iv6
BF.iv4  CM.iv4  FK.iv4  HR.iv4  KW.iv4  MO.iv4  PA.iv4  SG.iv4  TN.iv4  ZM.iv4
BF.iv6  CM.iv6  FK.iv6  HR.iv6  KW.iv6  MO.iv6  PA.iv6  SG.iv6  TN.iv6  ZM.iv6
BG.iv4  CN.iv4  FM.iv4  HT.iv4  KY.iv4  MP.iv4  PE.iv4  SH.iv4  TO.iv4  ZW.iv4
BG.iv6  CN.iv6  FM.iv6  HT.iv6  KY.iv6  MP.iv6  PE.iv6  SH.iv6  TO.iv6  ZW.iv6

I found this range in the GeoIP CSV:

"180.95.128.0","180.127.255.255","3026157568","3028287487","CN","China"

# grep GEOIPDIR /etc/shorewall/shorewall.conf
GEOIPDIR=/usr/share/xt_geoip/LE

# shorewall show capabilities | grep GEO
Geo IP Match (GEOIP_MATCH): Available

rules:
REDIRECT        net1:!^[US,CA,EU,ES,PT,FR,DE,GB,IT,BE]  62000   tcp     80
REDIRECT        net2:!^[US,CA,EU,ES,PT,FR,DE,GB,IT,BE]  62000   tcp     80
REDIRECT        net3:!^[US,CA,EU,ES,PT,FR,DE,GB,IT,BE]  62000   tcp     80
DROP:info       net1:!^[US,CA,EU,ES,PT,FR,DE,GB,IT,BE]  all
DROP:info       net2:!^[US,CA,EU,ES,PT,FR,DE,GB,IT,BE]  all
DROP:info       net3:!^[US,CA,EU,ES,PT,FR,DE,GB,IT,BE]  all

Is my rule correct?
I understand it should have blocked a CN IP address, right?

I'm attaching a shorewall dump taken after the reported IP address was seen in 
the IPS (suricata).
I understand it shouldn't have reached NFQUEUE but DROPped before.

Thanks,

Vieri

sw_dump.gz
Description: application/gzip

------------------------------------------------------------------------------
Check out the vibrant tech community on one of the world's most
engaging tech sites, SlashDot.org! http://sdm.link/slashdot

_______________________________________________
Shorewall-users mailing list
[email protected]
https://lists.sourceforge.net/lists/listinfo/shorewall-users

[Shorewall-users] shorewall and geoip

Reply via email to