06.08.2025
258
6
0OPNSense absicherung, Thema GEO Block
Hallo zusammen,
möchte gerne eure Erfahrungen und ggf. Diskutieren über OPNSense und absichern bzw. GEO Block.
Uns steht demnächst eine kleine OPNSense in Haus. Davor kommt ein Modem.
Jetzt habe ich mich mal in das Thema eingelesen und da kam auch das Thema Absicherung vom WAN.
Es gibt z.B. vom Spamhaus und Firehole Blocklisten wo verscheidene IP gelockt werden. Was ich noch dazu gelesen habe das es von maxmind.com/en/home GEO Block Listen wo am verschieden Länder von Grund aus nicht zulassen muss.
Es sehr sehr unwahrscheinlich das wir Leute haben die sich per VPN von diesen Ländern zur Firma verbinden wollen.
Wie seht ihr das mit solchen Listen und Anbietern von GEO Block IPs?
Wie sieht es mit Datenschutz aus grade im bezug auch Maxmid? (Verbindung zur OPNSense)
Was macht ihr wenn, ihr eine OPNSense oder PFSense im Einsatz habt zum Thema Absicherung von Außen ?
Gruß
Max
möchte gerne eure Erfahrungen und ggf. Diskutieren über OPNSense und absichern bzw. GEO Block.
Uns steht demnächst eine kleine OPNSense in Haus. Davor kommt ein Modem.
Jetzt habe ich mich mal in das Thema eingelesen und da kam auch das Thema Absicherung vom WAN.
Es gibt z.B. vom Spamhaus und Firehole Blocklisten wo verscheidene IP gelockt werden. Was ich noch dazu gelesen habe das es von maxmind.com/en/home GEO Block Listen wo am verschieden Länder von Grund aus nicht zulassen muss.
Es sehr sehr unwahrscheinlich das wir Leute haben die sich per VPN von diesen Ländern zur Firma verbinden wollen.
Wie seht ihr das mit solchen Listen und Anbietern von GEO Block IPs?
Wie sieht es mit Datenschutz aus grade im bezug auch Maxmid? (Verbindung zur OPNSense)
Was macht ihr wenn, ihr eine OPNSense oder PFSense im Einsatz habt zum Thema Absicherung von Außen ?
Gruß
Max
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 674184
Url: https://administrator.de/forum/opnsense-sicherheit-geo-block-ip-674184.html
Ausgedruckt am: 06.08.2025 um 07:08 Uhr
6 Kommentare
Neuester Kommentar
Moin,
ich sehe es gemischt. Geoblocking ist mMn tendenziell nicht verkehrt aber trägt kaum dazu bei, dass man weniger Angriffsversuche via WAN hat. Die Adressen ändern sich ständig und über eine IP kommen oft viel zu viele Sachen rein, dass man gleich einen kompletten Block sperren kann. "Gute" und "böse" Länder gibt es schon lange nicht mehr.
Ein gutes Regelwerk, IPS und TLS-Inspection helfen wesentlich mehr als das.
ich sehe es gemischt. Geoblocking ist mMn tendenziell nicht verkehrt aber trägt kaum dazu bei, dass man weniger Angriffsversuche via WAN hat. Die Adressen ändern sich ständig und über eine IP kommen oft viel zu viele Sachen rein, dass man gleich einen kompletten Block sperren kann. "Gute" und "böse" Länder gibt es schon lange nicht mehr.
Ein gutes Regelwerk, IPS und TLS-Inspection helfen wesentlich mehr als das.
Moin,
erst mal alles aus Russland und Nordkorea sperren ist pauschal nie falsch
Aber sonst ist das ein Kampf gegen Windmühlen - man weiß ja wie einfach es ist sich per VPN irgendeine IP zu holen...
Grüße
erst mal alles aus Russland und Nordkorea sperren ist pauschal nie falsch
Aber sonst ist das ein Kampf gegen Windmühlen - man weiß ja wie einfach es ist sich per VPN irgendeine IP zu holen...
Grüße
Aber sonst ist das ein Kampf gegen Windmühlen - man weiß ja wie einfach es ist sich per VPN irgendeine IP zu holen...
Aus diesem Grund empfinde ich Geo-Blocking als relativ wertlos. Selbst die Script-Kiddies wissen heute, wie sie das umgehen.
Ich bin da eher bei IPS / IDS Regeln und einem Firewall-Regelwerk, dass den Namen auch verdient.
Das Web-Interface sollte eh nur via VPN erreichbar sein.
Just my 2 Cents.
Looser
Ich nutz Geoblocking auch nicht. Sooo wahnsinnig viel kommt bei uns nicht rein. Auffällige IPs die halt immer ankommen werden dann manuell gesperrt.
Auch wenn man bestimmte IP aus bestimmten Räumen quasi pauschal blocken könnte, bringt das dann doch nicht wirklich viel. Wenns denn wirklich gezielt sein sollte oder die über Skript-Kiddies hinweg sind, kommts eben von einem Proxy.
Wenn dann lieber mit einer Whitelist arbeiten, so denn die Sicherheitsanforderungen sehr hoch sind.
Auch wenn man bestimmte IP aus bestimmten Räumen quasi pauschal blocken könnte, bringt das dann doch nicht wirklich viel. Wenns denn wirklich gezielt sein sollte oder die über Skript-Kiddies hinweg sind, kommts eben von einem Proxy.
Wenn dann lieber mit einer Whitelist arbeiten, so denn die Sicherheitsanforderungen sehr hoch sind.
Ich hab's aktiv bei meiner OPNsense, kostet ja nix.
Der Zweck ist aber durch VPN minimiert, daher betrachte ich die Option als ein nice to have.
Der Zweck ist aber durch VPN minimiert, daher betrachte ich die Option als ein nice to have.
