[Frage] GeoIP mit IPtables sperren

it-fisi

Mitglied
Mitglied seit
13 Aug 2005
Beiträge
439
Punkte für Reaktionen
0
Punkte
16
Hallo

ich habe im Freetz in den Logfiles gesehen das sich immer wieder mal mehr oder weniger IPs aus China versuchen sich mit meiner Box zu verbinden.
Kann man mit IPtables ganze GeoIPs für eingehende Anfragen sperren oder ist das besser direkt in der Firewall einzugeben ?
Falls ja, was und wie muss ich wo eintragen ?

vielen Dank schon mal
Grüsse Pepe
 
Nach meinem Kenntnisstand läßt sich sowas mit iptables nicht realisieren.
Aber eigentlich ist das ja auch garnicht notwendig, wenn Du mittels geeigneter Regeln die INPUT-Chain so gestaltest, daß der Zugriff auf die Box generell auf ein Minimum reduziert ist. Gepaart mit enstprechenden Passwörtern und/oder abgesicherten Diensten sollte da, sofern du eine täglich wechselnde IP hast, ein vernünftiges Maß an Sicherheit die Konsequenz sein.

Grüße,

JD.
 
ok - und wie ist es wenn ich in der Firewall eine Regel erstelle ? So das der gesamte IP Range 61.xxx.xxx.xxx gesperrt ist, für eingehende Anfragen.
Habe ein Bild angehängt, aber so scheint es wohl nicht richtig zu sein - oder ?

Ich habe eine feste IP und bin auch über dynDNS erreichbar.

regel.PNG
 
Zuletzt bearbeitet:
Wozu willst die AVM-Firewall benutzen, deren Funktionsweise (Stichwort: Packet Accelerator) nicht mal genau bekannt ist, wenn Du funktionierende iptables auf der Box hast ?
Ein simples
Code:
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -s 192.168.178.0/24 -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -j LOG --log-prefix "[IPT] DENY-FRITZ-ACCESS "
iptables -P INPUT DROP

sollte da doch reichen ... (?)
Was bringt es Dir, einzelne (Teil-)Netze auszusperren, wenn es genug andere gibt ? Versuche, das Ganze mal "White-List-basiert" zu sehen: Nur bestimmte dürfen "'rein".
 
@JohnDoe42
Danke für den Code

mir sagt das leider nicht viel ...
Wo pack ich den Code jetzt rein ?
unter IPtables / Regeln ?

Ich habe FTP und HTTP laufen und VPN nach Deutschland läuft auch.
und wie ist es dann wenn ich von Deutschland, Frankreich oder Thailand darauf zu greifen möchte - ist das dann möglich ?
 
Zuletzt bearbeitet:
Moin

Zum Filtern benutze ich tinyproxy.
Und wer ihn benutzen darf?
Das wird in seiner Konfiguration mit Allow geregelt.
 
mh - tinyproxy habe ich nicht in Freetz

wäre es nicht doch einfacher für mich nur gewisse Range zu sperren
als erst alles zu sperren und dann wieder was frei zu geben.
 
Ich habe FTP und HTTP laufen und VPN nach Deutschland läuft auch.

Hast Du FTP, HTTP und VPN auf deiner FritzBox (border device) laufen oder auf Gerät im LAN der FritzBox (mit Portweiterleitung)? Wenn im LAN, dann ist nicht die INPUT chain der FritzBox, für das Filtern (mit iptables) zuständig.
 
Die Dienste laufen direkt auf der Box - für alle PCs
 
ok - Danke

und wo mache ich jetzt wie die richtigen Einträge ?
 
... wo mache ich jetzt wie die richtigen Einträge ?
Du könntest ein ausführbares Script erstellen und das dann über die rc.custom aufrufen oder die Regel auch nur in die rc.custom eintragen (modsave nicht vergessen). Zum testen kannst Du in der Konsole deiner FB, auch:
Code:
iptables -I INPUT 1 -p tcp -s 61.0.0.0/8 -j DROP
eingeben.
Siehe danach sporadisch bzw. gelegentlich auch die Ausgabe von:
Code:
iptables -nvx -L INPUT
, insb. was die counter anzeigen.
 
@sf3978
ich muss sagen das ich mich mit Linux (noch) überhaupt nicht auskenne.
Schreibe ich jetzt dein Code in IPtables unter Regeln oder wo ... ?
Kann ich irgendwo nachlesen was die Parameter bedeuten -I -s -p -j DROP usw.
 
Schreibe ich jetzt dein Code in IPtables unter Regeln oder wo ... ?

... telnet - Konsole; Mit z. B. nano (oder gleichwertiger Texteditor) in die Datei "/var/tmp/flash/mod/rc.custom". modsave nicht vergessen. Siehe auch "ls -la /var/tmp/flash/mod/rc.custom" bzw. "cat /var/tmp/flash/mod/rc.custom".

BTW: Zum testen ob es funktioniert musst Du noch nichts schreiben. Du kannst auch nur in der Konsole "iptables -I INPUT 1 -p tcp -s 61.0.0.0/8 -j DROP" eingeben und beobachten.

Kann ich irgendwo nachlesen was die Parameter bedeuten -I -s -p -j DROP usw.
Ja, z. B. in der manpage für iptables: http://ipset.netfilter.org/iptables.man.html
 
vielen Dank .... ich werde das mal versuchen ...
 
iptables -I INPUT 1 -p tcp -s 61.0.0.0/8 -j DROP

kann ich das auch irgendwo in der Oberfläche von Freetz eingeben ?
eventuell unter IPtables / Editor oder Regeln ?'

sorry - Kenn mich auf der Konsole unter Linux nicht gut aus :(
 
kann ich das auch irgendwo in der Oberfläche von Freetz eingeben ?

Hm ..., da gab es oder gibt es noch, die rudi-Shell, die ich aber nie verwendet habe. Besser ist es schon mit telnet oder mit ssh und mit der Konsole.
shellinabox wäre auch eine Möglichkeit, aber m. E. nicht einfacher als die Konsole.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.