Kerio Control – ręczna aktualizacja bazy kategoryzacji GeoIP

Objawy

Gdy funkcja GeoIP w Kerio Control jest włączona, dzienniki Debug mogą wskazywać, że pakiety są odrzucane dla kraju, który nie znajduje się na czarnej liście GeoIP:

[24/Jul/2023 08:12:11] {pktdrop} packet dropped: GeoIP filter drop (from Ethernet, proto:TCP, len:60, 46.247.161.20:44853 -> 10.20.10.1:22, flags:[ SYN ], seq:941247645 ack:0, win:29200, tcplen:0)
 
[24/Jul/2023 08:33:14] {pktdrop} packet dropped: GeoIP filter drop (from Ethernet, proto:TCP, len:48, 46.247.161.20:51532 -> 10.20.10.1:443, flags:[ SYN ], seq:2440146447 ack:0, win:8192, tcplen:0)

Czasami baza danych GeoIP może błędnie kategoryzować pewne adresy IP i ich przynależności do konkretnych krajów. W naszym przykładzie sieć 51.83.237.0/24 jest przypisana do Federacji Rosyjskiej, zamiast do Polski.

W tym wpisie pokażemy jak ręcznie zaktualizować definicje bazy danych GeoIP.

Wymagania wstępne

• Dostęp przez SSH do Kerio Control
• Poprawna identyfikacja adresu IP oraz kraju do którego przynależy. Można wykorzystać narzędzia firm trzecich, np. ip2location.com.

Procedura

1. 1. Połącz się z Kerio Control za pomocą SSH i upewnij się, że istnieją następujące pliki:
      • /var/winroute/geoip/4.x/geoip.csv: Zawiera wszystkie adresy IP i przypisane do nich kody krajów
        

        Fragment pliku /var/winroute/geoip/4.x/geoip.csv

      • /opt/kerio/winroute/geoip.csv: Zawiera wszystkie kody krajów.
        

        Flagment pliku /opt/kerio/winroute/geoip.csv

   2. Użyj programu do bezpiecznego kopiowania (np. WinSCP, SCP), aby pobrać powyższe pliki na lokalny komputer.
   3. W pobranym pliku /var/winroute/geoip/4.x/geoip.csv wyedytuj adresy IP / kody krajów zgodnie z wymaganiami.
      Dla powyższego przykładu (aby zmienić przypisanie sieci 51.83.237.0/24 z Federacji Rosyjskiej na Polskę), należy dokonać edycji następującej linii:

      51.83.237.0/24,2017370

      i zamienić ją na

      51.83.237.0/24,798544

   4. Gdy zaktualizujesz plik zgodnie z własnymi wymaganiami, połącz się programem SCP z Kerio Control i prześlij plik.
      

      Uwaga: Przed przesłaniem upewnij się, że system operacyjny można odczytywać i zapisywać, wykonując polecenie:

       

      mount -o rw,remount /

   5. W interfejsie WebAdministracyjnym Kerio Control, przejdź do sekcji konfiguracji filtru GeoIP (Konfiguracja -> Ustawienia zabezpieczeń -> Filtr GeoIP), a następnie wyłącz i ponownie włącz filtr, aby wczytać zaktualizowaną bazę adresów. Nie zapomnij zatwierdzić zmian (wyłączenia i ponownego włączenia filtru), klikając dwukrotnie przycisk Zastosuj.

Weryfikacja

Sprawdź funkcjonalność GeoIP w Kerio Control, monitorując dzienniki Debug lub Połączenia w aktywnych hostach. Teraz funkcja ta powinna działać poprawnie i blokować / odblokowywać adresy IP zgodnie z konfiguracją.