Блокировка трафика по стране

[Konstantin2]

Добрый день. Использую кинетики в бизнесе.
Подключаю офисы по ВПН к центральному офису. 

Ваш продукт приближается к полноценному UTM, который раньше использовал, но решил перейти на Кинетики.
Мне бы спалось спокойно, если бы можно было ограничить входящие соединения по странам +тор. Я бы запретил все кроме РФ из за боязни что сломают проброшенные порты или впн сервер.

Готов был бы даже платить годовую подписку. У условно-бесплатных софтовых UTM такая фишка как правило за денежку.
Есть компании которые предоставляют разработчикам подобные базы. Например https://www.maxmind.com/ru/high-risk-ip-sample-list

Еще бы конечно IPC... И смело продавайте UTM или VPN коробочки.

Изменено 8 февраля, 2019 пользователем Konstantin2

[Le ecureuil]

Спасибо за предложения по развитию.

На самом деле думаем как аккуратнее сделать ipset для acl, и это похоже как раз то, что вам нужно.

Сроков не обещаем, но в планах.

[MercuryV]

Было бы удобно и полезно.

Несколько лет дропаю входящие из ряда стран по спискам из https://www.iblocklist.com/lists?category=country  (через ipset, само собой). Радикально сокращает число попыток пощупать за открытые порты. Для узлов Tor и FORWARD тоже.

Присматриваюсь ещё к другому источнику: http://www.ipdeny.com/ipblocks/ , но в "эксплуатацию" не вводил. Там есть адреса, пропущенные через aggregate, и ipv6.

[Idea Fix]

Я пока вовсе выкачиваю все китайские автономки почти вручную и почти вручную применяю правила, но такую систему тяжело поддерживать в актуальном состоянии, особенно с моим уровнем знаний Тут хотя бы через веб интерфейс реализовать не систему "одно правило - одна подсеть", а систему "одно правило - много подсетей". Тогда и белый список по РФ можно сделать и черный по Китаю, Амазону и пр.

[hola]

Апнем старую тему...

 

подскажите а на каком этапе сейчас реализация этой функции ?

я бы тоже не отказался  забанить заграницу, на input\forward,

 

ну или хотя-бы какое то подобие address list, где можно создать список адресов-диапазонов, а потом уже при создании правила, выбирать по мимо IP адреса или сети,  запись из address list

Изменено 9 декабря, 2023 пользователем hola

[aes4096]

Тоже интересует данный вопрос. Это нужно и актуально, особенно если ты публикуешь свое облако в интернет, но хочешь ограничить для всего мира кроме России

[mk26]

В 08.11.2024 в 17:25, aes4096 сказал:

Тоже интересует данный вопрос. Это нужно и актуально, особенно если ты публикуешь свое облако в интернет, но хочешь ограничить для всего мира кроме России

Прошло почти 5 лет, реализацию обещали но так не сделали и это печально. Предполагаю ее еще долго не будет, хотя функция очень актуальная а нужная.