← retour aux snippets

xt_geoip: filtrer le trafic par pays

Construire la base GeoIP pour iptables et écrire des règles par pays source.

bash security #iptables#geoip

objectif

Restreindre l’accès à des régions spécifiques (approximation par IP).

code minimal

# générer la base (selon distro: xtables-addons)
sudo /usr/lib/xtables-addons/xt_geoip_build -D /usr/share/xt_geoip
sudo iptables -A INPUT -m geoip --src-cc FR,BE -p tcp --dport 22 -j ACCEPT
sudo iptables -A INPUT -p tcp --dport 22 -j DROP

utilisation

# bloquer un pays
sudo iptables -A INPUT -m geoip --src-cc CN -j DROP

variante(s) utile(s)

# journaliser
sudo iptables -A INPUT -m geoip --src-cc RU -j LOG --log-prefix "GEOIP RU "

notes

  • base à mettre à jour régulièrement.
  • précision limitée; ne remplace pas auth forte.