Page 1 of 1
iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-04-29 11:07
by weally
Hallo,
ich möchte gerne über iptables einen kompletten Adressebreich bzw. besteimmte Länder aussperren, wenn ich allerdings die Regel:
Code: Select all
iptables -I INPUT -m iprange --src-range 222.240.0.0-222.249.255.255 -j DROP
einfügen möchte erhalte ich:
iptables: No chain/target/match by that name
Einzelne Adressen lassen sich ohne Probleme sperren nur leider nicht ein kompletter Bereich.
Gibt es dafür eine Lösung?
Danke
weally
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-04-29 11:48
by Roger Wilco
[QUOTE=weally]Gibt es dafür eine Lösung?[/quote]
Das netfilter-Modul iprange laden.
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-03 14:31
by twisterchen
Hallo
Gibt es vielleicht hier jemanden der eine Liste hat welche IP bereiche mann sperren sollte, denn ich habe ab und zu mal Portscans aus Korea in meinen Logs stehen.
Würde darum gerne auch die Länder Asien Südamerika vielleicht sogar Russland einfach sperren den die brauch ich ja gleich gar net.
Vielleicht gibts da ja schon einen Thread dazu.?
Gruss
Gerhard
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-03 15:24
by hornox
http://www.aso.icann.org/stats/index.html
oder etwas handlicher:
http://www.maxmind.com/app/country
Aber der IP Adressraum ist zu zerstückelt als das man das in ein paar handliche iptables Regeln umsetzten könnte. Und großflächiges sperren(APNIC, AfriNIC und LACNIC) kann schnell zu unbeabsichtigten aussperren führen :(
btw, gibt's eigentlich eine Möglichkeit SSH bzw PAM mit GeoIP zu kombinieren?
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-03 16:26
by dotme
OT:
Bei dem Gedanken den Zugriff anhand von Herkunft zu unterbinden gruselt es mich.
Überhaupt ist der Ansatz, die IP gebe unverfälschbar die Herkunft des Nutzers wieder, reichlich naiv.
Bin ja jetzt kein Jurist, aber
Grundgesetz, Artikel 3 finde ich nett.
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-03 18:48
by captaincrunch
Überhaupt ist der Ansatz, die IP gebe unverfälschbar die Herkunft des Nutzers wieder, reichlich naiv.
ACK. Glaubt ihr jetzt wirklich ernsthaft, dass die Jungs aus Fernost auch brav immer nur von IPs aus den dortigen Hinterhöfen kommen? Das ganze erinnert mich irgendwie an die Kampftrainingszene aus "Matrix", wo Neo von Morpheus gefragt wird "Glaubst du wirklich es ist Luft, die du hier atmest?". ;)
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-03 18:49
by twisterchen
Hallo @ dotme
Da hast du vielleicht recht
Überhaupt ist der Ansatz, die IP gebe unverfälschbar die Herkunft des Nutzers wieder, reichlich naiv.
Nur denke ich auch wenn die Angriffe über gerootete Server kommen sollten oder auch kommen, dann meine ich ist das nicht das problem wenn hier auch ein paar Server aus Europa dabei sind die dann gedropt werden , denn die Angriffe kommen dann wahrscheinlich von Server von denen aus eh nicht über einen Browser gesurft wurde.
Denn schlimmer währe es wenn ich statische IPs Dropen würde denn die könnte ja jemand anders wieder bekommen der eigentlich nur ganz normal durchs Netz surft.
Aber mir hier ins gewissen reden wollen mit einem Artikel aus dem Grundgesetzt von wegen bla bla bla alle sind gleich und mir damit sagen wilst ich soll den bösen Kiddi aus Europa oder den Hacker aus Asien nicht ausschliesen weil er ja vielleicht hier darunter gehöhrt.
Niemand darf wegen seines Geschlechtes, seiner Abstammung, seiner Rasse, seiner Sprache, seiner Heimat und Herkunft, seines Glaubens, seiner religiösen oder politischen Anschauungen benachteiligt oder bevorzugt werden. Niemand darf wegen seiner Behinderung benachteiligt werden.
darum find ich das reichlich naiv
Nur mal so gesagt:
Das Einbrechen in andere Computersysteme und 'sich einfach mal umsehen', besonders wenn dabei private und persönliche Daten anderer Personen angesehen werden können, kann einfach nicht akzeptiert werden. Genauso wenig wie auch das Fahren unter Alkohol nicht zu akzeptieren ist, auch wenn 'die Straßen frei sind
http://ds.ccc.de/079/hacken-und-recht-I
Siehst du das anders ?
Gruss
Gerhard
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-03 18:54
by duergner
Ich denke das sieht niemand anders, aber das Vorgehen das dadurch verhindern zu wollen komplette Teile der (IP-)Welt blocken zu wollen macht IMHO einfach keinen Sinn.
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-03 19:12
by twisterchen
Hallo
Ich hoffe ihr seit mir hier nicht böse wenn ich ein bischen stichle, aber was spricht den dagegen wenn ich für mich und meine Server z.B Asien, Russland, Südamerika, Rumänien, Korea so die Länder einfach ausschliese.
Mir bringt es einfach nichts Produktives wenn diese Länder auf meine Server zugreifen können.
Ob das jetzt Sinn macht oder nicht sei dahingestellt oder genauer zu erörtern.
Gruss
Gerhard
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-03 19:17
by captaincrunch
aber was spricht den dagegen wenn ich für mich und meine Server z.B Asien, Russland, Südamerika, Rumänien, Korea so die Länder einfach ausschliese.
Gleich mal ganz spontan zwei Gründe:
1. Dadurch, dass die IPTables-Hooks des Kernels durchlaufen werden müssen, bietest du zusätzliche Angriffsfläche (wie in letzter Zeit mal wieder zu sehen war).
2. Du verbrätst CPU-Zyklen, die du woanders vermutlich sinniger einsetzen könntest.
Ach ja, doch noch einer: Security by obscurity hat noch nie funktioniert, funktioniert nicht, und wird auch nie funktionieren.
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-03 19:35
by elch_mg
@CC: kann man Luft spoofen? (;
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-03 20:54
by Outlaw
dotme wrote:OT:
Bei dem Gedanken den Zugriff anhand von Herkunft zu unterbinden gruselt es mich.
Überhaupt ist der Ansatz, die IP gebe unverfälschbar die Herkunft des Nutzers wieder, reichlich naiv.
Bin ja jetzt kein Jurist, aber
Grundgesetz, Artikel 3 finde ich nett.
Hihi, sach das mal eBay zur Auschlussfunktion für Bieter anderer Länder .... ;):D
Gruß Outi
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-03 20:54
by Outlaw
elch_mg wrote:@CC: kann man Luft spoofen? (;
Jo, und knicken ....
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-04 09:48
by twisterchen
Hallo
OK OK das die Performance drunter leidet war mir klar aber das es ein zusätzliches Sicherheitsrisiko ist wenn mann bestimmte Länder ausgrenzt, war mir Absolut nicht klar und ist mir auch noch nicht klar 80
Also weiter Lesen Lesen Lesen um die Kiste so Sicher wie möglich und soviel wie nötig zu Sichern !
Die Frage glaub ich steht auch noch aus.
HornOx wrote:btw, gibt's eigentlich eine Möglichkeit SSH bzw PAM mit GeoIP zu kombinieren?
Gruss
Gerhard
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-05-04 10:07
by captaincrunch
aber das es ein zusätzliches Sicherheitsrisiko ist wenn mann bestimmte Länder ausgrenzt, war mir Absolut nicht klar und ist mir auch noch nicht klar
Ist eigentlich ganz einfach: jede Zeile Code, die sich zusätzlich auf dem System befindet (oder im übertragenen Sinn durchlaufen werden muss) birgt potenzielle Gefahren. Schau dir mal die Sicherheitslücken des Kernels in letzter Zeit an, dann weißt du, wovon ich rede.
btw, gibt's eigentlich eine Möglichkeit SSH bzw PAM mit GeoIP zu kombinieren?
Sicherlich gibt's die. Ob das Sinn macht, und/oder schon jemand probiert hat steht auf nem anderen Blatt. ;)
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-09-24 23:55
by buddaaa
Twisterchen wrote:Hallo
Gibt es vielleicht hier jemanden der eine Liste hat welche IP bereiche mann sperren sollte, denn ich habe ab und zu mal Portscans aus Korea in meinen Logs stehen.
Würde darum gerne auch die Länder Asien Südamerika vielleicht sogar Russland einfach sperren den die brauch ich ja gleich gar net.
Vielleicht gibts da ja schon einen Thread dazu.?
also ich benutze unten stehendes um diverse ports nur aus europa zugaenglich zu machen. ich wuerde das allerdings nur fuer ports empfehlen, bei denen es einen ueberschaubaren benutzerkreis gibt (bei mir FTP, POP3) weil manche provider (z.b. arcor mit 145/8) aus dem schema fallen und ja ab und zu dem RIPE neue netze zugewiesen werden (kann man checken auf
http://www.iana.org/assignments/ipv4-address-space).
Code: Select all
IFACE="eth0"
# FTP,POP3S allow from all IP-nets assigned to RIPE NCC = europe + acror = 145/8
# http://www.iana.org/assignments/ipv4-address-space
/usr/sbin/iptables -N europein
/usr/sbin/iptables -A INPUT -i $IFACE -p TCP -m multiport --dport 21,8443 -j europein
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 145.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 62.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 77.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 78.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 79.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 80.0.0.0/4 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 88.0.0.0/5 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 193.0.0.0/7 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 195.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 212.0.0.0/7 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -s 217.0.0.0/8 -j RETURN
/usr/sbin/iptables -A europein -i $IFACE -j LOG --log-prefix "NONEU--IN: "
/usr/sbin/iptables -A europein -i $IFACE -p TCP -m multiport --dport 21,8443 -j REJECT --reject-with tcp-reset
im iptables-log findet man dann so nettigkeiten wie 169.252.4.21 = clayton.state.gov , anscheinend betreibt das department of homeland security seinen eigenen webcrawler :)
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-09-25 16:11
by lord_pinhead
buddaaa wrote:Twisterchen wrote:
im iptables-log findet man dann so nettigkeiten wie 169.252.4.21 = clayton.state.gov , anscheinend betreibt das department of homeland security seinen eigenen webcrawler :)
Sicher haben die Ihren eigenen Crawler, was meinst du wie Terroristen aufgespürt werden :D
Re: iptables - Problem beim Sperren eines Adressbereichs
Posted: 2006-09-25 17:05
by daemotron
HornOx wrote:btw, gibt's eigentlich eine Möglichkeit SSH bzw PAM mit GeoIP zu kombinieren?
Wenn der sshd mit tcp_wrapper-Support kompiliert wurde, kannst Du Dir theoretisch ein Skript basteln, das /etc/hosts.deny aus GeoIP füttert... Eleganter wäre dann aber eine Lösung wie DenyHosts (
http://denyhosts.sourceforge.net), das nur diejenigen zeitlich begrenzt aussperrt, die tatsächlich einen Angriffsversuch unternehmen. Das zusätzliche Risiko durch netfilter im Kernel fällt bei dieser Lösung sogar weg, weil das Skript über tcp_wrapper arbeitet.
Lord_Pinhead wrote:Sicher haben die Ihren eigenen Crawler, was meinst du wie Terroristen aufgespürt werden :D
Echelon rules... wobei ich dachte, die hätten die Taktik geändert - suchen die jetzt nicht mit Weltraumkameras nach Leuten, die organene Klamotten tragen? Zumindest zeigen sie immer nur solche im Fernsehen...