iptables - Problem beim Sperren eines Adressbereichs

[weally]

Hallo,

ich möchte gerne über iptables einen kompletten Adressebreich bzw. besteimmte Länder aussperren, wenn ich allerdings die Regel:

Code: Select all

iptables -I INPUT -m iprange --src-range 222.240.0.0-222.249.255.255 -j DROP

einfügen möchte erhalte ich:

iptables: No chain/target/match by that name

Einzelne Adressen lassen sich ohne Probleme sperren nur leider nicht ein kompletter Bereich.

Gibt es dafür eine Lösung?

Danke

weally

[Roger Wilco]

[QUOTE=weally]Gibt es dafür eine Lösung?[/quote]
Das netfilter-Modul iprange laden.

[twisterchen]

Hallo


Gibt es vielleicht hier jemanden der eine Liste hat welche IP bereiche mann sperren sollte, denn ich habe ab und zu mal Portscans aus Korea in meinen Logs stehen.

Würde darum gerne auch die Länder Asien Südamerika vielleicht sogar Russland einfach sperren den die brauch ich ja gleich gar net.


Vielleicht gibts da ja schon einen Thread dazu.?

Gruss
Gerhard

[hornox]

http://www.aso.icann.org/stats/index.html
oder etwas handlicher:
http://www.maxmind.com/app/country
Aber der IP Adressraum ist zu zerstückelt als das man das in ein paar handliche iptables Regeln umsetzten könnte. Und großflächiges sperren(APNIC, AfriNIC und LACNIC) kann schnell zu unbeabsichtigten aussperren führen :(
btw, gibt's eigentlich eine Möglichkeit SSH bzw PAM mit GeoIP zu kombinieren?

[dotme]

OT:

Bei dem Gedanken den Zugriff anhand von Herkunft zu unterbinden gruselt es mich.

Überhaupt ist der Ansatz, die IP gebe unverfälschbar die Herkunft des Nutzers wieder, reichlich naiv.

Bin ja jetzt kein Jurist, aber Grundgesetz, Artikel 3 finde ich nett.

[captaincrunch]

Überhaupt ist der Ansatz, die IP gebe unverfälschbar die Herkunft des Nutzers wieder, reichlich naiv.

ACK. Glaubt ihr jetzt wirklich ernsthaft, dass die Jungs aus Fernost auch brav immer nur von IPs aus den dortigen Hinterhöfen kommen? Das ganze erinnert mich irgendwie an die Kampftrainingszene aus "Matrix", wo Neo von Morpheus gefragt wird "Glaubst du wirklich es ist Luft, die du hier atmest?". ;)

[twisterchen]

Hallo @ dotme

Da hast du vielleicht recht

Überhaupt ist der Ansatz, die IP gebe unverfälschbar die Herkunft des Nutzers wieder, reichlich naiv.

Nur denke ich auch wenn die Angriffe über gerootete Server kommen sollten oder auch kommen, dann meine ich ist das nicht das problem wenn hier auch ein paar Server aus Europa dabei sind die dann gedropt werden , denn die Angriffe kommen dann wahrscheinlich von Server von denen aus eh nicht über einen Browser gesurft wurde.
Denn schlimmer währe es wenn ich statische IPs Dropen würde denn die könnte ja jemand anders wieder bekommen der eigentlich nur ganz normal durchs Netz surft.

Aber mir hier ins gewissen reden wollen mit einem Artikel aus dem Grundgesetzt von wegen bla bla bla alle sind gleich und mir damit sagen wilst ich soll den bösen Kiddi aus Europa oder den Hacker aus Asien nicht ausschliesen weil er ja vielleicht hier darunter gehöhrt.

Niemand darf wegen seines Geschlechtes, seiner Abstammung, seiner Rasse, seiner Sprache, seiner Heimat und Herkunft, seines Glaubens, seiner religiösen oder politischen Anschauungen benachteiligt oder bevorzugt werden. Niemand darf wegen seiner Behinderung benachteiligt werden.

darum find ich das reichlich naiv

Nur mal so gesagt:

Das Einbrechen in andere Computersysteme und 'sich einfach mal umsehen', besonders wenn dabei private und persönliche Daten anderer Personen angesehen werden können, kann einfach nicht akzeptiert werden. Genauso wenig wie auch das Fahren unter Alkohol nicht zu akzeptieren ist, auch wenn 'die Straßen frei sind

http://ds.ccc.de/079/hacken-und-recht-I


Siehst du das anders ?


Gruss
Gerhard

[duergner]

Ich denke das sieht niemand anders, aber das Vorgehen das dadurch verhindern zu wollen komplette Teile der (IP-)Welt blocken zu wollen macht IMHO einfach keinen Sinn.

[twisterchen]

Hallo

Ich hoffe ihr seit mir hier nicht böse wenn ich ein bischen stichle, aber was spricht den dagegen wenn ich für mich und meine Server z.B Asien, Russland, Südamerika, Rumänien, Korea so die Länder einfach ausschliese.

Mir bringt es einfach nichts Produktives wenn diese Länder auf meine Server zugreifen können.
Ob das jetzt Sinn macht oder nicht sei dahingestellt oder genauer zu erörtern.


Gruss
Gerhard

[captaincrunch]

aber was spricht den dagegen wenn ich für mich und meine Server z.B Asien, Russland, Südamerika, Rumänien, Korea so die Länder einfach ausschliese.

Gleich mal ganz spontan zwei Gründe:

1. Dadurch, dass die IPTables-Hooks des Kernels durchlaufen werden müssen, bietest du zusätzliche Angriffsfläche (wie in letzter Zeit mal wieder zu sehen war).

2. Du verbrätst CPU-Zyklen, die du woanders vermutlich sinniger einsetzen könntest.

Ach ja, doch noch einer: Security by obscurity hat noch nie funktioniert, funktioniert nicht, und wird auch nie funktionieren.

[elch_mg]

@CC: kann man Luft spoofen? (;

[Outlaw]

OT:

Bei dem Gedanken den Zugriff anhand von Herkunft zu unterbinden gruselt es mich.

Überhaupt ist der Ansatz, die IP gebe unverfälschbar die Herkunft des Nutzers wieder, reichlich naiv.

Bin ja jetzt kein Jurist, aber Grundgesetz, Artikel 3 finde ich nett.

Hihi, sach das mal eBay zur Auschlussfunktion für Bieter anderer Länder .... ;):D

Gruß Outi

[Outlaw]

@CC: kann man Luft spoofen? (;

Jo, und knicken ....

[twisterchen]

Hallo

OK OK das die Performance drunter leidet war mir klar aber das es ein zusätzliches Sicherheitsrisiko ist wenn mann bestimmte Länder ausgrenzt, war mir Absolut nicht klar und ist mir auch noch nicht klar 80

Also weiter Lesen Lesen Lesen um die Kiste so Sicher wie möglich und soviel wie nötig zu Sichern !

Die Frage glaub ich steht auch noch aus.

btw, gibt's eigentlich eine Möglichkeit SSH bzw PAM mit GeoIP zu kombinieren?

Gruss
Gerhard

[captaincrunch]

aber das es ein zusätzliches Sicherheitsrisiko ist wenn mann bestimmte Länder ausgrenzt, war mir Absolut nicht klar und ist mir auch noch nicht klar

Ist eigentlich ganz einfach: jede Zeile Code, die sich zusätzlich auf dem System befindet (oder im übertragenen Sinn durchlaufen werden muss) birgt potenzielle Gefahren. Schau dir mal die Sicherheitslücken des Kernels in letzter Zeit an, dann weißt du, wovon ich rede.

btw, gibt's eigentlich eine Möglichkeit SSH bzw PAM mit GeoIP zu kombinieren?

Sicherlich gibt's die. Ob das Sinn macht, und/oder schon jemand probiert hat steht auf nem anderen Blatt. ;)

[buddaaa]

Hallo


Gibt es vielleicht hier jemanden der eine Liste hat welche IP bereiche mann sperren sollte, denn ich habe ab und zu mal Portscans aus Korea in meinen Logs stehen.

Würde darum gerne auch die Länder Asien Südamerika vielleicht sogar Russland einfach sperren den die brauch ich ja gleich gar net.


Vielleicht gibts da ja schon einen Thread dazu.?

also ich benutze unten stehendes um diverse ports nur aus europa zugaenglich zu machen. ich wuerde das allerdings nur fuer ports empfehlen, bei denen es einen ueberschaubaren benutzerkreis gibt (bei mir FTP, POP3) weil manche provider (z.b. arcor mit 145/8) aus dem schema fallen und ja ab und zu dem RIPE neue netze zugewiesen werden (kann man checken auf http://www.iana.org/assignments/ipv4-address-space).

Code: Select all

IFACE="eth0"
# FTP,POP3S allow from all IP-nets assigned to RIPE NCC = europe + acror = 145/8
# http://www.iana.org/assignments/ipv4-address-space
/usr/sbin/iptables -N europein
/usr/sbin/iptables -A INPUT  -i $IFACE -p TCP -m multiport --dport 21,8443 -j europein

/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 145.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 62.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 77.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 78.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 79.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 80.0.0.0/4 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 88.0.0.0/5 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 193.0.0.0/7 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 195.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 212.0.0.0/7 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 217.0.0.0/8 -j RETURN

/usr/sbin/iptables -A europein -i $IFACE -j LOG --log-prefix "NONEU--IN: "

/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -j REJECT --reject-with tcp-reset

im iptables-log findet man dann so nettigkeiten wie 169.252.4.21 = clayton.state.gov , anscheinend betreibt das department of homeland security seinen eigenen webcrawler :)

[lord_pinhead]

im iptables-log findet man dann so nettigkeiten wie 169.252.4.21 = clayton.state.gov , anscheinend betreibt das department of homeland security seinen eigenen webcrawler :)

Sicher haben die Ihren eigenen Crawler, was meinst du wie Terroristen aufgespürt werden :D

[daemotron]

btw, gibt's eigentlich eine Möglichkeit SSH bzw PAM mit GeoIP zu kombinieren?

Wenn der sshd mit tcp_wrapper-Support kompiliert wurde, kannst Du Dir theoretisch ein Skript basteln, das /etc/hosts.deny aus GeoIP füttert... Eleganter wäre dann aber eine Lösung wie DenyHosts (http://denyhosts.sourceforge.net), das nur diejenigen zeitlich begrenzt aussperrt, die tatsächlich einen Angriffsversuch unternehmen. Das zusätzliche Risiko durch netfilter im Kernel fällt bei dieser Lösung sogar weg, weil das Skript über tcp_wrapper arbeitet.

Sicher haben die Ihren eigenen Crawler, was meinst du wie Terroristen aufgespürt werden :D

Echelon rules... wobei ich dachte, die hätten die Taktik geändert - suchen die jetzt nicht mit Weltraumkameras nach Leuten, die organene Klamotten tragen? Zumindest zeigen sie immer nur solche im Fernsehen...