Security
Обезопасим свой прокси для Telegram от блокировки Роскомнадзора
В прошлой статье мы устанавливали и настраивали SOCKS5-прокси.
В этой заметке разберем, как дополнительно ограничить доступ к прокси-серверу с помощью правил iptables.
Идея простая: создать собственный список заблокированных подсетей и запретить входящие соединения с этих IP-адресов.
Создаем файл со скриптом iptables
Для начала создадим файл, в который добавим правила блокировки:
nano /etc/iptables.shВ файл добавляем правила:
#!/bin/bash
# Объявляем переменную
export IPT="iptables"
# Очищаем старые правила iptables
$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
# Блокировка подсетей
$IPT -A INPUT -s 5.61.16.0/21 -j DROP
$IPT -A INPUT -s 5.61.232.0/21 -j DROP
$IPT -A INPUT -s 79.137.157.0/24 -j DROP
$IPT -A INPUT -s 79.137.174.0/23 -j DROP
$IPT -A INPUT -s 79.137.183.0/24 -j DROP
$IPT -A INPUT -s 94.100.176.0/20 -j DROP
$IPT -A INPUT -s 95.163.32.0/19 -j DROP
$IPT -A INPUT -s 95.163.212.0/22 -j DROP
$IPT -A INPUT -s 95.163.216.0/22 -j DROP
$IPT -A INPUT -s 95.163.248.0/21 -j DROP
$IPT -A INPUT -s 128.140.168.0/21 -j DROP
$IPT -A INPUT -s 178.22.88.0/21 -j DROP
$IPT -A INPUT -s 178.237.16.0/20 -j DROP
$IPT -A INPUT -s 178.237.29.0/24 -j DROP
$IPT -A INPUT -s 185.5.136.0/22 -j DROP
$IPT -A INPUT -s 185.16.148.0/22 -j DROP
$IPT -A INPUT -s 185.16.244.0/23 -j DROP
$IPT -A INPUT -s 185.16.246.0/24 -j DROP
$IPT -A INPUT -s 185.16.247.0/24 -j DROP
$IPT -A INPUT -s 188.93.56.0/21 -j DROP
$IPT -A INPUT -s 194.186.63.0/24 -j DROP
$IPT -A INPUT -s 195.211.20.0/22 -j DROP
$IPT -A INPUT -s 195.218.168.0/24 -j DROP
$IPT -A INPUT -s 217.20.144.0/20 -j DROP
$IPT -A INPUT -s 217.69.128.0/20 -j DROP
# Сохраняем правила в файл
/sbin/iptables-save > /etc/iptables_rulesВыдаем права на запуск скрипта
Сохраняем файл и выдаем права на выполнение:
chmod +x /etc/iptables.shПосле этого запускаем скрипт:
/etc/iptables.shПрименяем сохраненные правила
Если правила уже сохранены в файл /etc/iptables_rules, применить их можно командой:
iptables-restore < /etc/iptables_rulesПроверяем правила iptables
Проверить, что правила действительно применились, можно командой:
iptables -L -v -n
В выводе должны появиться правила с действием DROP
для указанных подсетей.
Автозагрузка правил после перезагрузки
Важно помнить, что правила iptables могут сброситься после перезагрузки сервера.
На Debian и Ubuntu можно добавить автоматическое восстановление правил в файл сетевых интерфейсов:
nano /etc/network/interfacesИ добавить строку:
pre-up iptables-restore < /etc/iptables_rulesИтог
С помощью iptables можно быстро ограничить доступ к SOCKS5-прокси для нежелательных IP-адресов и подсетей.
Такой способ не заменяет полноценную защиту сервера, но помогает уменьшить количество нежелательных подключений и скрыть прокси от автоматических сканеров.
Комментарии