öffentliche IP-Adressen aus asiatischen Raum sperren
Öffentliche IP-Adressen aus dem asiatischen Raum mittels IP-tables sperren, Möglich?
Hey @ll,
seit kurzem stelle ich vermehrt zugriffsversuche aus dem asiatischen Raum fest. Die Zugriffsversuche beschränken sich nur auf das WEB. Der Web-server ist eine virtuelle Maschine. Die einzigen Dienste, die darauf laufen, sind http, ntp und ein firwallscript mittels iptables.
An sich kann ich über die versuche ja nur schmunzeln, aber es nervt mich, dass mein log-files permanent von diesem "Misst" voll geschrieben werden. Klar, jetzt könnte ich das log'n einfach abstellen und habe meine Ruhe, aber ich will schon wissen, was auf der Kiste abgeht und wo vor allem auch noch Sicherheitslücken sind.
Daher wollte ich einfach nur mal Fragen, ob es ne Möglichkeit gibt, einen öffenlichen Adressraum zu sperren oder mittels Prerouting ins irgendwo routen?? Wenn ja, woher weiß ich, welche IP-Adressen aus Asien geroutet werden. Jede IP-Adresse mittels trace route zu Verfolgen finde ich sehr Zeitaufwendig und auf Grund der Masse an IP's unzumutbar.
Vielen Dank im Voraus für eure Ideen.
Gruß,
Knut
Hey @ll,
seit kurzem stelle ich vermehrt zugriffsversuche aus dem asiatischen Raum fest. Die Zugriffsversuche beschränken sich nur auf das WEB. Der Web-server ist eine virtuelle Maschine. Die einzigen Dienste, die darauf laufen, sind http, ntp und ein firwallscript mittels iptables.
An sich kann ich über die versuche ja nur schmunzeln, aber es nervt mich, dass mein log-files permanent von diesem "Misst" voll geschrieben werden. Klar, jetzt könnte ich das log'n einfach abstellen und habe meine Ruhe, aber ich will schon wissen, was auf der Kiste abgeht und wo vor allem auch noch Sicherheitslücken sind.
Daher wollte ich einfach nur mal Fragen, ob es ne Möglichkeit gibt, einen öffenlichen Adressraum zu sperren oder mittels Prerouting ins irgendwo routen?? Wenn ja, woher weiß ich, welche IP-Adressen aus Asien geroutet werden. Jede IP-Adresse mittels trace route zu Verfolgen finde ich sehr Zeitaufwendig und auf Grund der Masse an IP's unzumutbar.
Vielen Dank im Voraus für eure Ideen.
Gruß,
Knut
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 104221
Url: https://administrator.de/forum/oeffentliche-ip-adressen-aus-asiatischen-raum-sperren-104221.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
14 Kommentare
Neuester Kommentar
Wenn du die wirklich sperren willst hast du keine wirkliche Chance.
Die beste Lösung ist es eine Geolocation-Database zu verwenden, aber die sind oft veraltet oder ungenau.
Eine solche Datenbank findest du z.B. hier: http://ip-to-country.webhosting.info/
Grüße
Max
Die beste Lösung ist es eine Geolocation-Database zu verwenden, aber die sind oft veraltet oder ungenau.
Eine solche Datenbank findest du z.B. hier: http://ip-to-country.webhosting.info/
Grüße
Max
? ? ?
Sach ma, wie geil ist das denn?
Klar geht das, hab ich auch schon gemacht (mach ich eigentlich bei fast allen meinen Servern, es sei denn, der Kunde kommuniziert mit "drüben"...);
einfach die entsprechenden IP-Ranges sperren, feddisch.
Da Du ja schon iptables hast, ein Kinderspiel.
Lonesome Walker
Sach ma, wie geil ist das denn?
Klar geht das, hab ich auch schon gemacht (mach ich eigentlich bei fast allen meinen Servern, es sei denn, der Kunde kommuniziert mit "drüben"...);
einfach die entsprechenden IP-Ranges sperren, feddisch.
Da Du ja schon iptables hast, ein Kinderspiel.
Lonesome Walker
Klar geht das
Sicher, meine Aussage bezog sich auch darauf das es keine zuverlässige Set-It-And-Forget-It-Lösung gibt.
Eine Sperrliste von heute kann morgen schon veraltet sein, weshalb man da immer hinterher sein muss.
Als Alternative zur Gelocation-Datenbank ist mir für einen ganzen Kontinent auch noch die Zuweisung von IANA eingefallen: http://www.iana.org/numbers/. Die Liste ist dann etwas kleiner.
Grüße
Max
Wieviel RAM hast Du?
Wenn Du >= 2GB hast, würde ich an Deiner Stelle fail2ban verwenden.
Default solltest Du auf DROP lassen (ja, ich weiß, das kostet RAM...)
Hat aber den Vorteil, daß die Leute, die da Zugang auf den Server begehren, das merken...
Und für die besonders Hartnäckigen empfiehlt sich dann ein Eintrag in der hosts.deny...
@dog:
zuerst Bullsh*t schreiben, und dann versuchen, sich zu verbessern, das bin ich ja bereits von Dir gewohnt...
Lieber erst nachdenken, dann posten.
Tut keinem weh, hebt aber die Qualität des Forums hier enorm...
Ganze IP-Ranges aussperren, tstststs...
Klar gehts, aber wieso kompliziert, wenns einfach auch geht...
Lonesome Walker
Wenn Du >= 2GB hast, würde ich an Deiner Stelle fail2ban verwenden.
Default solltest Du auf DROP lassen (ja, ich weiß, das kostet RAM...)
Hat aber den Vorteil, daß die Leute, die da Zugang auf den Server begehren, das merken...
Und für die besonders Hartnäckigen empfiehlt sich dann ein Eintrag in der hosts.deny...
@dog:
zuerst Bullsh*t schreiben, und dann versuchen, sich zu verbessern, das bin ich ja bereits von Dir gewohnt...
Lieber erst nachdenken, dann posten.
Tut keinem weh, hebt aber die Qualität des Forums hier enorm...
Ganze IP-Ranges aussperren, tstststs...
Klar gehts, aber wieso kompliziert, wenns einfach auch geht...
Lonesome Walker
Hättest du meinen Beitrag mal ganz gelesen und nicht nach dem ersten Satz bereits mit deinen Hasstiraden begonnen, wäre dir vielleicht auch aufgefallen, dass ich durchaus einen _möglichen_ Lösungsansatz genannt habe (und später noch einen weiteren).
Es gibt aber nunmal keine _echte_ Lösung für dieses Problem und genau das habe ich auch gesagt ("wirkliche"). Es wäre eher gefährlich zu behaupten es gibt einen absoluten Schutz, dass ist nämlich nur ein Trugschluss.
Wenn du heute Asien sperrst kommt morgen Eurasien dran, übermorgen Amerika und nächste Woche sperrt man sich selbst aus, weil ein Hacker einen gehijackten PC im eigenen Netzwerk als Angrifss-Proxy nimmt.
Grüße
Max
Es gibt aber nunmal keine _echte_ Lösung für dieses Problem und genau das habe ich auch gesagt ("wirkliche"). Es wäre eher gefährlich zu behaupten es gibt einen absoluten Schutz, dass ist nämlich nur ein Trugschluss.
Wenn du heute Asien sperrst kommt morgen Eurasien dran, übermorgen Amerika und nächste Woche sperrt man sich selbst aus, weil ein Hacker einen gehijackten PC im eigenen Netzwerk als Angrifss-Proxy nimmt.
Grüße
Max
Dann hast Du meinen Kommentar nicht genau genug gelesen...
fail2ban macht das schon immer, mit dem Unterschied, auch dynamisch und besser...
Lonesome Walker
fail2ban macht das schon immer, mit dem Unterschied, auch dynamisch und besser...
Lonesome Walker