komplette Top-Level Domain/range blocken mit iptables?

[sir tom]

Moin.

Ja also, iptables benutze ich das erste Mal, blicke noch nicht so ganz durch. Ich möchte entweder eine mir bekannte IP range komplett wechbannen oder wenn möglich eine bestimmte Domain (zB *.adsl.de).

Ich habe die Forensuche genutzt, allerdings kam ich dort nur auf Ranges in der letzten Stelle der IP. Ich möchte mehr "bannen".

Bisher habe ich immer nur einzelne IPs gedropped:

iptables -A INPUT -s 83.31.0.31 -j DROP

Sehe ich das richtig, das ich folgendermassen alle 83.31er bannen kann:

iptables -A INPUT -s 83.31 -j DROP

?

Oder geht das so:

iptables -A INPUT -s 83.31.0.0/255 -j DROP

Wie gesagt, benutze das äußerst selten bis gar nicht (was sich nun ändern könnte ;))

Ich habe auf Anhieb kein deutsches Tutorial gefunden / auch keine dt. Anleitung, hat jemand einen Link dafür?

[dodolin]

iptables -A INPUT -s 83.31.0.0/255 -j DROP

iptables -A INPUT -s 83.31.0.0/16 -j DROP

Mach dich mal zu CIDR Notation schlau.

[sir tom]

Danke!

[captaincrunch]

<klugscheiss>
DROP?????
</klugscheiss>

[dodolin]

DROP?????

Ich hatte das nur ohne nachzudenken aus dem Posting des OP übernommen. Sollte es sich jedoch um einen DoS Angriff handeln, könnte DROP durchaus Sinn machen, um zumindest einen Teil des Traffics einzusparen.

[captaincrunch]

OK...hatte ich mir zum Glück gedacht. ;)

Ich für meinen Teil setze mich bei DOS aber trotz allem lieber mit meinem Provider auseinander. Der hat mehr Möglichkeiten, das sinnvoll "abzuklemmen". ;)

[sir tom]

Najo, ich möchte weniger gegen vermeintliche DoS Attacken wehren, als vielmehr gegen eine bestimmte Person aus einer gewissen Gegend (des Inets), die mir gedroht hat, einen meiner Server zu hacken. Das dient eher der kleinen "Rache" (er hatte sich entschuldigt bei mir, etc.pp.) meinerseits, seine Datenpäckchen einfach mal versanden zu lassen.

Ein Bann auf einem Gameserver und im Forum wäre mir zu einfach und zu offensichtlich, derjenige soll halt spüren, das man mit soetwas nicht droht. Zumindest nicht mir...

[smur]

rofl..

[dynamix]

ich lach ma ganz heimlich mit ;-)

Führen wir nun bald krieg mit iptables ?...

[sir tom]

Nun, es ist eine Methode jemanden zu blocken, der einen bedroht. Oder etwa nicht? Ich kann leider keine rechtlichen Schritte einleiten, da er im Ausland sitzt (und er ja "nur gedroht" hat).

Ich sehe es schon hauptsächlich als Sicherheitsvorkehrung und nicht als Grund, sich darüber lustig zu machen. Ist doch gut, wenn man eine mögliche Gefahrenquelle für einen Server vorzeitig eleminieren kann.

[irnbru]

Eine allenfalls Hürde, Stichwort Proxy.
Mal davon ab, würde ein ernstzunehmender Angreifer nicht seinen privaten Inetanschluss verwenden.

[sir tom]

Deshalb ging meine Frage ja auch dahin, alles aus .pl zu blocken. Sicher kann er dann immernoch via Proxy und/oder über .net/.org/etc. geroutete Verbindungen kommen, nur hat er bis dahin vlt. die Lust verloren.

Zumal ja dann immernoch die letzte Hürde - mein Server (^^) zu nehmen wäre 8O :?

[[tom]]

Du kannst keine Domainnamen blocken, sondern nur IP Adressen. Das hat mehrere Gründe:

1. Hat nicht jeder Rechner einen Domain Namen.
2. Nicht jedes Protokoll verlangt einen Domainnamen.
3. iptables ist ein OSI Level 3 Packetfilter. Auf Level 3 (beim TCP/IP Modell der Internet Level) wird IP gesprochen. Namen sind hier in dieser Schicht gänzlich unbekannt.


[TOM]