Frage zu iptables: *.domain.com sperren??

Rund um die Sicherheit des Systems und die Applikationen
infong
Posts: 73
Joined: 2004-03-29 17:57

Frage zu iptables: *.domain.com sperren??

Post by infong » 2004-07-11 14:46

Hi,

wenn ich eine IP sperren möchte, mache ich es wie folgt:

Code: Select all

iptables -I INPUT -s ip -j DROP
Wie kann ich es aber hinbekommen, dass ich eine Wildcard Domain sperre?
Es soll also egal sein, was z.b. vor sperrdomain.com steht.


Gibt es dafür auch eine Lösung?


Besten Dank
Matthias

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Frage zu iptables: *.domain.com sperren??

Post by dodolin » 2004-07-11 18:54

AFAIK nein.

thorsten
Posts: 561
Joined: 2003-02-01 13:14
Location: Fuldatal

Re: Frage zu iptables: *.domain.com sperren??

Post by thorsten » 2004-07-11 19:10

Falls der Admin seinen DNS nicht vernünftig konfiguriert hat, könntest du dir mittels 'dig doman.tld axfr' alle verwendeten Hosts und somit alle IPs anzeigen lassen und jeweils einzeln sperren.

iptables aktzeptiert nur IP Adressen - keine DNS Namen.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Frage zu iptables: *.domain.com sperren??

Post by captaincrunch » 2004-07-11 21:49

iptables aktzeptiert nur IP Adressen - keine DNS Namen.
Natürlich akzeptiert IPTables auch Hostnamen, diese werden aber zum "internen" Gebrauch in IPs umgewandelt.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

infong
Posts: 73
Joined: 2004-03-29 17:57

...

Post by infong » 2004-07-11 23:07

OK, vielen Dank für eure Antworten...

Nur mal aus Interesse:
Gibt es eigentlich auch eine Möglichkeit, dass IPs automatisch gesperrt werden, wenn diese z.B. mit bestimmter Häufigkeit Fehlermeldungen verursachen?


Besten Dank
Matthias

duergner
Posts: 923
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: Frage zu iptables: *.domain.com sperren??

Post by duergner » 2004-07-11 23:21

Ja das geht, aber das will man i.d.R. nicht.

infong
Posts: 73
Joined: 2004-03-29 17:57

...

Post by infong » 2004-07-11 23:38

Warum nicht?
Hast du zu dem Programm einige Infos?

Bei mir ist derzeit einfach das Problem, dass von ganz vielen verschiedenen IPs angegriffen wird und ich habe einfach keine Lust und Zeit die manuell zu sperren...


Beste Grüße
Matthias

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Frage zu iptables: *.domain.com sperren??

Post by dodolin » 2004-07-12 01:15

Warum nicht?
Stichwort SelfDoS.
Bei mir ist derzeit einfach das Problem, dass von ganz vielen verschiedenen IPs angegriffen wird und ich habe einfach keine Lust und Zeit die manuell zu sperren...
Wie und was wird denn "angegriffen"?
Ist es dazu unbedingt nötig, diese IPs komplett zu sperren?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Frage zu iptables: *.domain.com sperren??

Post by Joe User » 2004-07-12 10:18

dodolin wrote:Wie und was wird denn "angegriffen"?
http://www.rootforum.org/forum/viewtopic.php?t=28044
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

infong
Posts: 73
Joined: 2004-03-29 17:57

...

Post by infong » 2004-07-12 11:15

Genau, es geht darum, dass sehr viele verschiedene IPs zig tausend Aufrufe starten und ich mich dagegen ja nun irgendwie schützen muss, da ich sonst wieder Probleme mit postfix bekomme.

Daher setze ich derzeit iptables ein, was ja auch ganz gut funktioniert. Leider ist es so, dass es immer neue IP adressen gibt, die dann eine riesige Anzahl an Fehler verursahen.


Um das zu vermeiden, suche ich derzeit eine Lösung.


Besten Dank
Matthias

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Frage zu iptables: *.domain.com sperren??

Post by captaincrunch » 2004-07-12 11:49

Wie wär's denn mal schlicht und ergreifend mit einer auch nur halbwegs sicheren Postfix-Konfiguration? Alles andere ist kompletter Schwachsinn... :roll:
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

infong
Posts: 73
Joined: 2004-03-29 17:57

...

Post by infong » 2004-07-12 12:10

Sicherer geht es derzeit nicht:

Postfix 2.0.19
SpamAssassin

Alle Einstellungen sollten auch richtig konfiguriert sein.


Beste Grüße
Matthias

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Frage zu iptables: *.domain.com sperren??

Post by captaincrunch » 2004-07-12 12:26

So es denn sicher wäre, hättest du diese Sorgen wohl kaum...
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

infong
Posts: 73
Joined: 2004-03-29 17:57

...

Post by infong » 2004-07-12 12:29

Gebe ich dir vollkommen Recht :-D

Ich kann aber auch nicht mehr konfigurieren als möglich ist.
Alle Einstellungen sind so vorgenommen, dass es eigentlich(!) sicher sein sollte.

Du kannst mir da aber gerne weiterhelfen :-D


Beste Grüße
Matthias

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Frage zu iptables: *.domain.com sperren??

Post by dodolin » 2004-07-12 16:25

Wenn du das konfigurationstechnisch nicht anders auf die Reihe kriegst, würde ich an deiner Stelle mal überlegen, ob ich nicht eine DUL (Dialup Blocklist) und eine Blackliste z.B. für China/Korea von blackholes.org einsetzen möchte. Nach Wahl auch direkt bei "connect", aber das ist evil. Soweit ich den geposteten Log überblicke kommen nämlich besagte Anfragen fast ausschließlich aus solchen Netzen...

infong
Posts: 73
Joined: 2004-03-29 17:57

...

Post by infong » 2004-07-12 16:34

Hi,

das stimmt, mittlerweile sind es über 60 IPs, die alle aus diesem Land kommen.
Ich schaue mir deinen Vorschlag gleich mal genauer an.


Beste Grüße
Matthias

infong
Posts: 73
Joined: 2004-03-29 17:57

...

Post by infong » 2004-07-12 16:48

Ist wohl heute nicht mein Tag :(

Ich kann die Seite nicht erreichen, Ihr etwar?
Wäre sonst klasse, wenn du mir noch einige Informationen posten könntest.


Beste Grüße
Matthias

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Frage zu iptables: *.domain.com sperren??

Post by dodolin » 2004-07-12 19:40

Du meinst http://blackholes.us/ ? Das tut hier...

infong
Posts: 73
Joined: 2004-03-29 17:57

...

Post by infong » 2004-07-12 20:06

So, dass sieht doch schon besser aus...

Wie und wo sollen die IP-Listen jetzt baer verwendet werden?

Sorry, ich habe soetwas noch nie gemacht und muss jetzt aber endlich mal zu eienm Ziel kommen?

Kann ich die Liste in iptables einlesen?
Siend die Listen nur für postfix gedacht?
Welches Format soll denn verwendet werden? Doch bestimmt txt, oder nicht?


Wäre kalsse, wenn du mir da etwas helfen könntest, denn irgndwann muss man auch so was mal gemacht haben.


Beste Grüße
Matthias

infong
Posts: 73
Joined: 2004-03-29 17:57

...

Post by infong » 2004-07-12 23:12

Tja, für die Hilfe kann ich mich jetzt nun nicht bedanken und daher musste ich mal etwas rumprobieren :?

Code: Select all

maps_rbl_domains = china.blackholes.us,korea.blackholes.us
Ist das soweit richtig oder muss da noch etwas anderes eingetragen werden?
Ich bin mir sicher, dass hier die Meisten genau wissen wie es geht und daher fände ich es mal ganz schön, wenn mir jemand ein Feedback posten würde.


Besten Dank
Matthias

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Frage zu iptables: *.domain.com sperren??

Post by dodolin » 2004-07-13 09:04

Ich bin mir sicher, dass hier die Meisten genau wissen wie es geht
Ja, weil sie die Rules gelesen haben. IMHO sind das Grundlagen für nen Serverbetreiber.