iptables - Problem beim Sperren eines Adressbereichs

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
weally
Posts: 32
Joined: 2004-09-13 19:25

iptables - Problem beim Sperren eines Adressbereichs

Post by weally » 2006-04-29 11:07

Hallo,

ich möchte gerne über iptables einen kompletten Adressebreich bzw. besteimmte Länder aussperren, wenn ich allerdings die Regel:

Code: Select all

iptables -I INPUT -m iprange --src-range 222.240.0.0-222.249.255.255 -j DROP
einfügen möchte erhalte ich:
iptables: No chain/target/match by that name
Einzelne Adressen lassen sich ohne Probleme sperren nur leider nicht ein kompletter Bereich.

Gibt es dafür eine Lösung?

Danke

weally

Roger Wilco
Administrator
Administrator
Posts: 6001
Joined: 2004-05-23 12:53

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by Roger Wilco » 2006-04-29 11:48

[QUOTE=weally]Gibt es dafür eine Lösung?[/quote]
Das netfilter-Modul iprange laden.

twisterchen
Anbieter
Posts: 229
Joined: 2005-07-14 14:13

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by twisterchen » 2006-05-03 14:31

Hallo


Gibt es vielleicht hier jemanden der eine Liste hat welche IP bereiche mann sperren sollte, denn ich habe ab und zu mal Portscans aus Korea in meinen Logs stehen.

Würde darum gerne auch die Länder Asien Südamerika vielleicht sogar Russland einfach sperren den die brauch ich ja gleich gar net.


Vielleicht gibts da ja schon einen Thread dazu.?

Gruss
Gerhard

hornox
Posts: 139
Joined: 2005-09-22 23:09

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by hornox » 2006-05-03 15:24

http://www.aso.icann.org/stats/index.html
oder etwas handlicher:
http://www.maxmind.com/app/country
Aber der IP Adressraum ist zu zerstückelt als das man das in ein paar handliche iptables Regeln umsetzten könnte. Und großflächiges sperren(APNIC, AfriNIC und LACNIC) kann schnell zu unbeabsichtigten aussperren führen :(
btw, gibt's eigentlich eine Möglichkeit SSH bzw PAM mit GeoIP zu kombinieren?

dotme
Posts: 150
Joined: 2004-12-15 16:48

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by dotme » 2006-05-03 16:26

OT:

Bei dem Gedanken den Zugriff anhand von Herkunft zu unterbinden gruselt es mich.

Überhaupt ist der Ansatz, die IP gebe unverfälschbar die Herkunft des Nutzers wieder, reichlich naiv.

Bin ja jetzt kein Jurist, aber Grundgesetz, Artikel 3 finde ich nett.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by captaincrunch » 2006-05-03 18:48

Überhaupt ist der Ansatz, die IP gebe unverfälschbar die Herkunft des Nutzers wieder, reichlich naiv.
ACK. Glaubt ihr jetzt wirklich ernsthaft, dass die Jungs aus Fernost auch brav immer nur von IPs aus den dortigen Hinterhöfen kommen? Das ganze erinnert mich irgendwie an die Kampftrainingszene aus "Matrix", wo Neo von Morpheus gefragt wird "Glaubst du wirklich es ist Luft, die du hier atmest?". ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

twisterchen
Anbieter
Posts: 229
Joined: 2005-07-14 14:13

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by twisterchen » 2006-05-03 18:49

Hallo @ dotme

Da hast du vielleicht recht
Überhaupt ist der Ansatz, die IP gebe unverfälschbar die Herkunft des Nutzers wieder, reichlich naiv.
Nur denke ich auch wenn die Angriffe über gerootete Server kommen sollten oder auch kommen, dann meine ich ist das nicht das problem wenn hier auch ein paar Server aus Europa dabei sind die dann gedropt werden , denn die Angriffe kommen dann wahrscheinlich von Server von denen aus eh nicht über einen Browser gesurft wurde.
Denn schlimmer währe es wenn ich statische IPs Dropen würde denn die könnte ja jemand anders wieder bekommen der eigentlich nur ganz normal durchs Netz surft.

Aber mir hier ins gewissen reden wollen mit einem Artikel aus dem Grundgesetzt von wegen bla bla bla alle sind gleich und mir damit sagen wilst ich soll den bösen Kiddi aus Europa oder den Hacker aus Asien nicht ausschliesen weil er ja vielleicht hier darunter gehöhrt.
Niemand darf wegen seines Geschlechtes, seiner Abstammung, seiner Rasse, seiner Sprache, seiner Heimat und Herkunft, seines Glaubens, seiner religiösen oder politischen Anschauungen benachteiligt oder bevorzugt werden. Niemand darf wegen seiner Behinderung benachteiligt werden.
darum find ich das reichlich naiv

Nur mal so gesagt:

Das Einbrechen in andere Computersysteme und 'sich einfach mal umsehen', besonders wenn dabei private und persönliche Daten anderer Personen angesehen werden können, kann einfach nicht akzeptiert werden. Genauso wenig wie auch das Fahren unter Alkohol nicht zu akzeptieren ist, auch wenn 'die Straßen frei sind

http://ds.ccc.de/079/hacken-und-recht-I


Siehst du das anders ?


Gruss
Gerhard

duergner
RSAC
Posts: 976
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by duergner » 2006-05-03 18:54

Ich denke das sieht niemand anders, aber das Vorgehen das dadurch verhindern zu wollen komplette Teile der (IP-)Welt blocken zu wollen macht IMHO einfach keinen Sinn.

twisterchen
Anbieter
Posts: 229
Joined: 2005-07-14 14:13

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by twisterchen » 2006-05-03 19:12

Hallo

Ich hoffe ihr seit mir hier nicht böse wenn ich ein bischen stichle, aber was spricht den dagegen wenn ich für mich und meine Server z.B Asien, Russland, Südamerika, Rumänien, Korea so die Länder einfach ausschliese.

Mir bringt es einfach nichts Produktives wenn diese Länder auf meine Server zugreifen können.
Ob das jetzt Sinn macht oder nicht sei dahingestellt oder genauer zu erörtern.


Gruss
Gerhard

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by captaincrunch » 2006-05-03 19:17

aber was spricht den dagegen wenn ich für mich und meine Server z.B Asien, Russland, Südamerika, Rumänien, Korea so die Länder einfach ausschliese.
Gleich mal ganz spontan zwei Gründe:

1. Dadurch, dass die IPTables-Hooks des Kernels durchlaufen werden müssen, bietest du zusätzliche Angriffsfläche (wie in letzter Zeit mal wieder zu sehen war).

2. Du verbrätst CPU-Zyklen, die du woanders vermutlich sinniger einsetzen könntest.

Ach ja, doch noch einer: Security by obscurity hat noch nie funktioniert, funktioniert nicht, und wird auch nie funktionieren.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

elch_mg
Posts: 302
Joined: 2006-01-23 19:14
Location: 41063

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by elch_mg » 2006-05-03 19:35

@CC: kann man Luft spoofen? (;

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by Outlaw » 2006-05-03 20:54

dotme wrote:OT:

Bei dem Gedanken den Zugriff anhand von Herkunft zu unterbinden gruselt es mich.

Überhaupt ist der Ansatz, die IP gebe unverfälschbar die Herkunft des Nutzers wieder, reichlich naiv.

Bin ja jetzt kein Jurist, aber Grundgesetz, Artikel 3 finde ich nett.
Hihi, sach das mal eBay zur Auschlussfunktion für Bieter anderer Länder .... ;):D

Gruß Outi

Outlaw
Posts: 1500
Joined: 2002-12-04 10:22
Location: 4. Server von rechts, 2. Reihe von oben

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by Outlaw » 2006-05-03 20:54

elch_mg wrote:@CC: kann man Luft spoofen? (;
Jo, und knicken ....

twisterchen
Anbieter
Posts: 229
Joined: 2005-07-14 14:13

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by twisterchen » 2006-05-04 09:48

Hallo

OK OK das die Performance drunter leidet war mir klar aber das es ein zusätzliches Sicherheitsrisiko ist wenn mann bestimmte Länder ausgrenzt, war mir Absolut nicht klar und ist mir auch noch nicht klar 80

Also weiter Lesen Lesen Lesen um die Kiste so Sicher wie möglich und soviel wie nötig zu Sichern !

Die Frage glaub ich steht auch noch aus.
HornOx wrote:btw, gibt's eigentlich eine Möglichkeit SSH bzw PAM mit GeoIP zu kombinieren?

Gruss
Gerhard

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by captaincrunch » 2006-05-04 10:07

aber das es ein zusätzliches Sicherheitsrisiko ist wenn mann bestimmte Länder ausgrenzt, war mir Absolut nicht klar und ist mir auch noch nicht klar
Ist eigentlich ganz einfach: jede Zeile Code, die sich zusätzlich auf dem System befindet (oder im übertragenen Sinn durchlaufen werden muss) birgt potenzielle Gefahren. Schau dir mal die Sicherheitslücken des Kernels in letzter Zeit an, dann weißt du, wovon ich rede.
btw, gibt's eigentlich eine Möglichkeit SSH bzw PAM mit GeoIP zu kombinieren?
Sicherlich gibt's die. Ob das Sinn macht, und/oder schon jemand probiert hat steht auf nem anderen Blatt. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

buddaaa
Posts: 163
Joined: 2004-11-08 09:59

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by buddaaa » 2006-09-24 23:55

Twisterchen wrote:Hallo


Gibt es vielleicht hier jemanden der eine Liste hat welche IP bereiche mann sperren sollte, denn ich habe ab und zu mal Portscans aus Korea in meinen Logs stehen.

Würde darum gerne auch die Länder Asien Südamerika vielleicht sogar Russland einfach sperren den die brauch ich ja gleich gar net.


Vielleicht gibts da ja schon einen Thread dazu.?
also ich benutze unten stehendes um diverse ports nur aus europa zugaenglich zu machen. ich wuerde das allerdings nur fuer ports empfehlen, bei denen es einen ueberschaubaren benutzerkreis gibt (bei mir FTP, POP3) weil manche provider (z.b. arcor mit 145/8) aus dem schema fallen und ja ab und zu dem RIPE neue netze zugewiesen werden (kann man checken auf http://www.iana.org/assignments/ipv4-address-space).

Code: Select all

IFACE="eth0"
# FTP,POP3S allow from all IP-nets assigned to RIPE NCC = europe + acror = 145/8
# http://www.iana.org/assignments/ipv4-address-space
/usr/sbin/iptables -N europein
/usr/sbin/iptables -A INPUT  -i $IFACE -p TCP -m multiport --dport 21,8443 -j europein

/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 145.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 62.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 77.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 78.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 79.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 80.0.0.0/4 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 88.0.0.0/5 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 193.0.0.0/7 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 195.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 212.0.0.0/7 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 217.0.0.0/8 -j RETURN

/usr/sbin/iptables -A europein -i $IFACE -j LOG --log-prefix "NONEU--IN: "

/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -j REJECT --reject-with tcp-reset
im iptables-log findet man dann so nettigkeiten wie 169.252.4.21 = clayton.state.gov , anscheinend betreibt das department of homeland security seinen eigenen webcrawler :)

lord_pinhead
RSAC
Posts: 830
Joined: 2004-04-26 15:57

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by lord_pinhead » 2006-09-25 16:11

buddaaa wrote:
Twisterchen wrote: im iptables-log findet man dann so nettigkeiten wie 169.252.4.21 = clayton.state.gov , anscheinend betreibt das department of homeland security seinen eigenen webcrawler :)
Sicher haben die Ihren eigenen Crawler, was meinst du wie Terroristen aufgespürt werden :D

User avatar
daemotron
Administrator
Administrator
Posts: 2800
Joined: 2004-01-21 17:44

Re: iptables - Problem beim Sperren eines Adressbereichs

Post by daemotron » 2006-09-25 17:05

HornOx wrote:btw, gibt's eigentlich eine Möglichkeit SSH bzw PAM mit GeoIP zu kombinieren?
Wenn der sshd mit tcp_wrapper-Support kompiliert wurde, kannst Du Dir theoretisch ein Skript basteln, das /etc/hosts.deny aus GeoIP füttert... Eleganter wäre dann aber eine Lösung wie DenyHosts (http://denyhosts.sourceforge.net), das nur diejenigen zeitlich begrenzt aussperrt, die tatsächlich einen Angriffsversuch unternehmen. Das zusätzliche Risiko durch netfilter im Kernel fällt bei dieser Lösung sogar weg, weil das Skript über tcp_wrapper arbeitet.
Lord_Pinhead wrote:Sicher haben die Ihren eigenen Crawler, was meinst du wie Terroristen aufgespürt werden :D
Echelon rules... wobei ich dachte, die hätten die Taktik geändert - suchen die jetzt nicht mit Weltraumkameras nach Leuten, die organene Klamotten tragen? Zumindest zeigen sie immer nur solche im Fernsehen...