Ganze Ländersperren auf Server

[Milchbroetchen]

Hallo Forum,
mich Intressiert folgendes und zwar wie kann Ich auf meinem Server ganze Länder Sperren?
Ständig versuchen sich leute via SSh einzuloggen und immer ist es aus China ist doch nicht normal oder?

Mein Server selber ist gut geschützt Fail2Ban, Firewall Key logins etc.
Gruß
Milchbroetchen

 

[virtual2]

Was ist daran schlimm?

Das ist normales Grundrauschen und sollte dich nicht dazu bewegen ganze Länder via iptables zu sperren, fail2ban verrichtet das schon für dich

 

[Milchbroetchen]

Aso ok, naja mache mir halt sorgen deshalb frag ich Kannst du mir den trotzdem erklären wie man ganze Länder Sperren kann?

 

[virtual2]

Auf Cyberciti hab ich mal was gefunden, habs eben wieder rausgekramt:

http://www.cyberciti.biz/faq/block-entier-country-using-iptables/

Solange der OpenSSHd via Key auth only läuft würde ich mir an deiner Stelle keine Gedanken machen

Falls nicht vorhanden -> http://www.debian-blog.de/?p=93

 

[Milchbroetchen]

@virtual2 Danke werde es mir angucken

 

[s24!]

Wenn dein SSH-Port != 22 ist, kannst du das Grundrauschen recht gut von ernst gemeinten Angriffen unterscheiden.

 

[Milchbroetchen]

Also mein SSH Port ist Standard 22... @virtual2 Das script Funktioniert Super habe es mit folgendem Tool getestet ob entsprechnde Länder gesperrt wurden http://just-ping.com/.
Thema ist dneke Ich mal somit erledigt, danke nochmal.
Gruß
Milchbroetchen

 

[remote_mind]

Was auch immer geht ist das Setzen von statischen Einträgen in /etc/hosts.deny und /etc/hosts.allow

Vorrausgesetzt dein sshd ist mit Support für tcpwrapper kompiliert.

Also z.B. in /etc/hosts.deny

sshd: ALL

und in /etc/hosts.allow

sshd: .de

Damit sperrst Du alle IP-Adresses aus bis auf die, deren reverse-lookup auf .de endet. tcpwrapper checkt zusätzlich normalerweise auch auf einen passenden forward-lookup. Könnte man sonst ja spoofen.

hosts.allow müsstest Du ggf. noch erweitern, manche DSL-Anbieter setzen keine richtigen reverse delegations, und auch für fallbackzwecke ist es angeraten, die eine oder andere IP (oder einen IP-Block) zusätzlich einzutragen.

Ich als Alice/O2-Kunde würde z.B. zusätzlich 78.48.0.0/13 eintragen.

Beim Spielen damit bitte nach jeder Änderung erst mit einer zweiten SSH-Sitzung testen ob der Zugriff auf den Server noch geht _bevor_ Du die bestehende SSH-Sitzung zumachst. Man kann sich da böse selber aussperren, zumal die Änderungen sofort wirksam werden (kein Neustart des sshd erforderlich).

Der Einsatz von tcpwrappern ersetzt natürlich keine sonstigen Maßnahmen wie gute Passwörter bzw. die (exklusive) Verwendung von ssh-keys, Verbot von root-login etc.

beste Grüße,
Nils