Nur Deutsche IP's zulassen

K

kamidor

New Member
Hi ich betreibe einen kleinen Linux VServer und würde gerne jeden ausserhalb von Deutschland und der Schweiz (Dort steht mein VPN, der als einziger auf SSH zugreifen darf) nicht erreichbar ist, also auch Nginx, Teamspeak etc. .
Eine Ausnahme gäbe es noch und zwar der Counterstrike Server sollte nach möglichkeit aus ganz Europa erreichbar sein. Bin zwar noch recht neu, aber wenn ich bisher eins gelert habe, dann das mit Linux alles geht, man muss nur wissen wie :P
Würde mich sehr freuen wenn mir jemand helfen könnte.

Mit freundlichem Gruß
Kami

Tante edith meint ich habe Debian 7 :P
 
Last edited by a moderator:
Die Frage kommt regelmässig wieder, eigentlich sollte sie über die Forensuche auffindbar sein.
Hier ist die Lösung: http://www.ipdeny.com/ipblocks/
Es wäre aber vermutlich einfacher statt wie im Link vorgeschlagen alles nach Land zu droppen, nur Deutschland (mit ACCEPT) ein zu spielen und Standard auf DROP zu stellen.

Nach Aktivierung der genannten Regeln dann eine iptables-Regel mit "-I" prependen welche den Port deines Gameservers freigibt.


Beachte aber dass, je nach Grösse der Regelsätze, Iptables beachtlichen Ressourcenverbrauch hat.
 
Viel Spass dann bei der Serverwartung im Auslandsurlaub ;)
Ja, diese Sperren vergisst man im Urlaubsstress sehr schnell und steht dann ganz dumm da.

Vernünftiges Konfigurieren der laufenden Dienste und zeitnahne Updates sämtlicher Software ist immernoch die effektivste Art sich zu "schützen".
 
Naja, das kann man dann so oder so sehen.
Ich mein, warum nicht z.b. alle IP´s aus China blocken, wenn die Chance das man aus China auf den Server zugreifen muss gegen 0 tendiert, aber z.b. ständig der POP3 oder IMAP oder SMTP aus China abgegrast wird?

gruss,
delta544
 
Bei vernünftig konfigurierten Diensten fällt das "Abgrasen" unter belangloses Grundrauschen.
Ich habe auf meinen Servern mehr deutsche IPs die sich "böse" verhalten, als alle ausländischen zusammen. Soll ich deswegen jetzt deutsche IPs aussperren?

Man kann sich auch Probleme einreden wo keine sind und diese dann mit Placebos eindecken bis man sich einredet die Probleme beseitigt zu haben. Spätestens dann hat man eine gefühlte Sicherheit geschaffen, welche in der Realität gar nicht existiert. An diesem Punkt wird man dann problemlos erfolgreich angegriffen und bekommt das nichtmal mit, weil man die rosarote Placebobrille auf hat.

Mit einem vernünftig konfiguriertem System sieht man etwaige Probleme hingegen sofort und kann sie geziehlt beseitigen.

Was ist wohl sinnvoller und sicherer?
 
Joe User said:
Ich habe auf meinen Servern mehr deutsche IPs die sich "böse" verhalten, als alle ausländischen zusammen. Soll ich deswegen jetzt deutsche IPs aussperren?
Click to expand...
Kann ich bestätigen. Habe hier statistisch gesehen mehr SSH-/IMAP-/SMTP/-Relay/-DNSAmplify/-etc. checks aus Deutschland als aus irgendeinem anderen Land. (Nicht falsch verstehen. Ich meine hier nicht nur Deutschland gegen den Rest der Welt sondern Deutschland gegen das Land $RANDOM). Ich hoffe, ich irre da nicht aber gab es nicht 'mal einen Artikel wo sogar preis gegeben wurde, dass Deutschland unter den Top 10 der Angriffssourcen steht?

Ich gebe meinen Vorrednern recht. Früher oder später muss jeder 'mal kapieren, dass man seine Dienste absichern muss. Spätestens bei einem Mailserver, den du mit Freunden teilst, einem Webserver, den die ganze Welt besucht, etc. . Nur Deutschland hier zu erlauben wäre dann auch wieder blödsinn. Was ist dann mit Österreich und der Schweiz? Willst du die auch blockieren? Nein? Dann viel Spaß mit mehr Ressourcen kaufen denn das würde dir auch nichts nützen, da in Deutschland, sowie in Österreich und der Schweiz auch zahlreiche Tor-Exitnodes stehen und da wirst du dann nicht drumherum kommen, deine Dienste ordnungsgemäß abzusichern, da deine Dienste ansonsten bald offen und für jedermann zugänglich sind.
 
d4f said:
Die Frage kommt regelmässig wieder, eigentlich sollte sie über die Forensuche auffindbar sein.
Hier ist die Lösung: http://www.ipdeny.com/ipblocks/

Es wäre aber vermutlich einfacher statt wie im Link vorgeschlagen alles nach Land zu droppen, nur Deutschland (mit ACCEPT) ein zu spielen und Standard auf DROP zu stellen.

Nach Aktivierung der genannten Regeln dann eine iptables-Regel mit "-I" prependen welche den Port deines Gameservers freigibt.


Beachte aber dass, je nach Grösse der Regelsätze, Iptables beachtlichen Ressourcenverbrauch hat.
Click to expand...

also mit den nach ländern aufgedrösselten listen kriegt man ja ein riesiges regelwerk im iptables (außer man macht sich die arbeit, die netze wieder zusammenzufassen).

für europe erlaube ich einfach alles, was vom RIPE NCC vergeben ist nach:
http://www.iana.org/assignments/ipv4-address-space

+ 145.0.0.0/8 weil arcor da mindestens ein netz hat und 132.176.0.0/16 ist die fernuni hagen in einem US-netz.
 
Nicht wenn man es umdreht und nur deutsche IP's erlaubt statt alles zu sperren was nicht deutsch ist.
Genau wie in der Mathematik ist ein Problem oft leicher zu lösen indem man es invertiert =)
 
Grundsätzlich gebe ich zu bedenken, dass die Zuordnung IP <-> Lokation nicht immer korrekt sein muss. Ich habe z.B. letztes Jahr ein /24 zugewiesen bekommen, was vorher einem Anbieter in Russland zugewiesen war, und so stand es auch noch in diversen Datenbanken. Würde mich also nicht unbedingt auf so ein System einlassen, wenn es nicht zwingend erforderlich ist.
 
Domi said:
Nimm doch "fail2ban"!
Vielleicht ist das ja auch noch eine alternative Lösung...
Click to expand...

Das hab ich bereits im Einsatz, hab das 'Standardwerk' um ein paar Regeln erweitert und bin bisher recht zufrieden mit dem Ergebniss. So zum Beispiel werden auch alle 'w00tw00t' Attacken gefiltert und gekickt.

gruss,
delta544
 
You must log in or register to reply here.
Back
Top