Kerio Control – ręczna aktualizacja bazy kategoryzacji GeoIP
Objawy
Gdy funkcja GeoIP w Kerio Control jest włączona, dzienniki Debug mogą wskazywać, że pakiety są odrzucane dla kraju, który nie znajduje się na czarnej liście GeoIP:
[24/Jul/2023 08:12:11] {pktdrop} packet dropped: GeoIP filter drop (from Ethernet, proto:TCP, len:60, 46.247.161.20:44853 -> 10.20.10.1:22, flags:[ SYN ], seq:941247645 ack:0, win:29200, tcplen:0) [24/Jul/2023 08:33:14] {pktdrop} packet dropped: GeoIP filter drop (from Ethernet, proto:TCP, len:48, 46.247.161.20:51532 -> 10.20.10.1:443, flags:[ SYN ], seq:2440146447 ack:0, win:8192, tcplen:0)
Czasami baza danych GeoIP może błędnie kategoryzować pewne adresy IP i ich przynależności do konkretnych krajów. W naszym przykładzie sieć 51.83.237.0/24 jest przypisana do Federacji Rosyjskiej, zamiast do Polski.
W tym wpisie pokażemy jak ręcznie zaktualizować definicje bazy danych GeoIP.
Wymagania wstępne
- Dostęp przez SSH do Kerio Control
- Poprawna identyfikacja adresu IP oraz kraju do którego przynależy. Można wykorzystać narzędzia firm trzecich, np. ip2location.com.
Procedura
-
- Połącz się z Kerio Control za pomocą SSH i upewnij się, że istnieją następujące pliki:
- /var/winroute/geoip/4.x/geoip.csv: Zawiera wszystkie adresy IP i przypisane do nich kody krajów
- /opt/kerio/winroute/geoip.csv: Zawiera wszystkie kody krajów.
- Użyj programu do bezpiecznego kopiowania (np. WinSCP, SCP), aby pobrać powyższe pliki na lokalny komputer.
- W pobranym pliku /var/winroute/geoip/4.x/geoip.csv wyedytuj adresy IP / kody krajów zgodnie z wymaganiami.
Dla powyższego przykładu (aby zmienić przypisanie sieci 51.83.237.0/24 z Federacji Rosyjskiej na Polskę), należy dokonać edycji następującej linii:51.83.237.0/24,2017370
i zamienić ją na
51.83.237.0/24,798544
- Gdy zaktualizujesz plik zgodnie z własnymi wymaganiami, połącz się programem SCP z Kerio Control i prześlij plik.
Uwaga: Przed przesłaniem upewnij się, że system operacyjny można odczytywać i zapisywać, wykonując polecenie:
mount -o rw,remount /
- W interfejsie WebAdministracyjnym Kerio Control, przejdź do sekcji konfiguracji filtru GeoIP (Konfiguracja -> Ustawienia zabezpieczeń -> Filtr GeoIP), a następnie wyłącz i ponownie włącz filtr, aby wczytać zaktualizowaną bazę adresów. Nie zapomnij zatwierdzić zmian (wyłączenia i ponownego włączenia filtru), klikając dwukrotnie przycisk Zastosuj.
- Połącz się z Kerio Control za pomocą SSH i upewnij się, że istnieją następujące pliki:
Weryfikacja
Sprawdź funkcjonalność GeoIP w Kerio Control, monitorując dzienniki Debug lub Połączenia w aktywnych hostach. Teraz funkcja ta powinna działać poprawnie i blokować / odblokowywać adresy IP zgodnie z konfiguracją.