Frage zu iptables: *.domain.com sperren??

[infong]

Hi,

wenn ich eine IP sperren möchte, mache ich es wie folgt:

Code: Select all

iptables -I INPUT -s ip -j DROP

Wie kann ich es aber hinbekommen, dass ich eine Wildcard Domain sperre?
Es soll also egal sein, was z.b. vor sperrdomain.com steht.


Gibt es dafür auch eine Lösung?


Besten Dank
Matthias

[dodolin]

AFAIK nein.

[thorsten]

Falls der Admin seinen DNS nicht vernünftig konfiguriert hat, könntest du dir mittels 'dig doman.tld axfr' alle verwendeten Hosts und somit alle IPs anzeigen lassen und jeweils einzeln sperren.

iptables aktzeptiert nur IP Adressen - keine DNS Namen.

[captaincrunch]

iptables aktzeptiert nur IP Adressen - keine DNS Namen.

Natürlich akzeptiert IPTables auch Hostnamen, diese werden aber zum "internen" Gebrauch in IPs umgewandelt.

[infong]

OK, vielen Dank für eure Antworten...

Nur mal aus Interesse:
Gibt es eigentlich auch eine Möglichkeit, dass IPs automatisch gesperrt werden, wenn diese z.B. mit bestimmter Häufigkeit Fehlermeldungen verursachen?


Besten Dank
Matthias

[duergner]

Ja das geht, aber das will man i.d.R. nicht.

[infong]

Warum nicht?
Hast du zu dem Programm einige Infos?

Bei mir ist derzeit einfach das Problem, dass von ganz vielen verschiedenen IPs angegriffen wird und ich habe einfach keine Lust und Zeit die manuell zu sperren...


Beste Grüße
Matthias

[dodolin]

Warum nicht?

Stichwort SelfDoS.

Bei mir ist derzeit einfach das Problem, dass von ganz vielen verschiedenen IPs angegriffen wird und ich habe einfach keine Lust und Zeit die manuell zu sperren...

Wie und was wird denn "angegriffen"?
Ist es dazu unbedingt nötig, diese IPs komplett zu sperren?

[Joe User]

Wie und was wird denn "angegriffen"?

http://www.rootforum.org/forum/viewtopic.php?t=28044

[infong]

Genau, es geht darum, dass sehr viele verschiedene IPs zig tausend Aufrufe starten und ich mich dagegen ja nun irgendwie schützen muss, da ich sonst wieder Probleme mit postfix bekomme.

Daher setze ich derzeit iptables ein, was ja auch ganz gut funktioniert. Leider ist es so, dass es immer neue IP adressen gibt, die dann eine riesige Anzahl an Fehler verursahen.


Um das zu vermeiden, suche ich derzeit eine Lösung.


Besten Dank
Matthias

[captaincrunch]

Wie wär's denn mal schlicht und ergreifend mit einer auch nur halbwegs sicheren Postfix-Konfiguration? Alles andere ist kompletter Schwachsinn... :roll:

[infong]

Sicherer geht es derzeit nicht:

Postfix 2.0.19
SpamAssassin

Alle Einstellungen sollten auch richtig konfiguriert sein.


Beste Grüße
Matthias

[captaincrunch]

So es denn sicher wäre, hättest du diese Sorgen wohl kaum...

[infong]

Gebe ich dir vollkommen Recht :-D

Ich kann aber auch nicht mehr konfigurieren als möglich ist.
Alle Einstellungen sind so vorgenommen, dass es eigentlich(!) sicher sein sollte.

Du kannst mir da aber gerne weiterhelfen :-D


Beste Grüße
Matthias

[dodolin]

Wenn du das konfigurationstechnisch nicht anders auf die Reihe kriegst, würde ich an deiner Stelle mal überlegen, ob ich nicht eine DUL (Dialup Blocklist) und eine Blackliste z.B. für China/Korea von blackholes.org einsetzen möchte. Nach Wahl auch direkt bei "connect", aber das ist evil. Soweit ich den geposteten Log überblicke kommen nämlich besagte Anfragen fast ausschließlich aus solchen Netzen...

[infong]

Hi,

das stimmt, mittlerweile sind es über 60 IPs, die alle aus diesem Land kommen.
Ich schaue mir deinen Vorschlag gleich mal genauer an.


Beste Grüße
Matthias

[infong]

Ist wohl heute nicht mein Tag :(

Ich kann die Seite nicht erreichen, Ihr etwar?
Wäre sonst klasse, wenn du mir noch einige Informationen posten könntest.


Beste Grüße
Matthias

[dodolin]

Du meinst http://blackholes.us/ ? Das tut hier...

[infong]

So, dass sieht doch schon besser aus...

Wie und wo sollen die IP-Listen jetzt baer verwendet werden?

Sorry, ich habe soetwas noch nie gemacht und muss jetzt aber endlich mal zu eienm Ziel kommen?

Kann ich die Liste in iptables einlesen?
Siend die Listen nur für postfix gedacht?
Welches Format soll denn verwendet werden? Doch bestimmt txt, oder nicht?


Wäre kalsse, wenn du mir da etwas helfen könntest, denn irgndwann muss man auch so was mal gemacht haben.


Beste Grüße
Matthias

[infong]

Tja, für die Hilfe kann ich mich jetzt nun nicht bedanken und daher musste ich mal etwas rumprobieren :?

Code: Select all

maps_rbl_domains = china.blackholes.us,korea.blackholes.us

Ist das soweit richtig oder muss da noch etwas anderes eingetragen werden?
Ich bin mir sicher, dass hier die Meisten genau wissen wie es geht und daher fände ich es mal ganz schön, wenn mir jemand ein Feedback posten würde.


Besten Dank
Matthias

[dodolin]

Ich bin mir sicher, dass hier die Meisten genau wissen wie es geht

Ja, weil sie die Rules gelesen haben. IMHO sind das Grundlagen für nen Serverbetreiber.