Firewall Regeln nach Ursprungsland

[iREQ]

Hallo,

ich würde folgendes Feature vorschlagen: Firewall Regeln nach Ursprungsland des Traffics erstellen. (z.B. Block aller IPs aus China)
Wofür das gut ist kann sich bestimmt jeder selbst ausmalen.

Eventuell kann man das auch selber per API umsetzen, aber ich glaube, es gibt (noch) keine Firewall Integration in die API. Eventuell liege ich da aber auch falsch.

Viele Grüße

[andromeda]

Müsste man per Skript die Ranges mittels iptables sperren.

Aber ob man dann wirklich einen Zugewinn an Sicherheit mitbringt ist fraglich, denn ein Angriff kann auch von einem kompromittierten Server in Deutschland kommen oder so.

Mit fail2ban kann man auch viel machen, würde eher da zusätzliche jails einrichten.

[space2place]

Es gab bis Ende 2019 die Möglichkeit mit GeoIP (maxmind.com) komplette Ranges für ein Land zu sperren. So konnte man anhand "^RU" alle IP-Adressen aus Russland sperren. Das hatte ich mit Shorewall genutzt. Leider habe ich das nicht mehr weiter verfolgt. Ob es mittlerweile neue freie Datenbanken gibt, weiß ich leider nicht.

[Fuelli]

Wenn du Länder sperren willst, gibt es mod_geoip für Apache und wenn du weiter absichern willst noch https://www.modsecurity.org/

[andromeda]

Wenn du Länder sperren willst, gibt es mod_geoip für Apache und wenn du weiter absichern willst noch https://www.modsecurity.org/

Vermutlich will er für diese Länder ports generell zumachen (alle). Hm.

[space2place]

Ich denke hiermit müsste es gehen.
https://www.eigener-server.ch/web-serve ... -iptables/

Aber anstatt von Maxmind die GeoIp Daten upzudaten, nimmt man das von dieser Seite:

http://legacy-geoip-csv.ufficyo.com/

Ist jetzt ungetestet, aber so hatte ich das 2018 auch gemacht. Nur das ich die Daten von Maxmind gezogen habe.

[Tobi]

Aber anstatt von Maxmind die GeoIp Daten upzudaten, nimmt man das von dieser Seite:

Ich persönlich bin kein wirklicher Fan von solchem Seiten.
Mag sein, dass es gestern und heute funktioniert(e) aber wer weiss was morgen ist?

Wenn man die Maxmind DB verwenden will kann man doch auch gleich zum entsprechenden Apache Modul greifen.
Dieses wird von Maxmind bereitgestellt und supported.
Warum also nicht gleich das Original verwenden?
https://maxmind.github.io/mod_maxminddb/

Ziemlich weit unten auf dieser Seite kommt dann im Abschnitt "Blocking by Country" ein Beispiel wie man ganze Länder blockiert.

Gemäß der Installationsanleitung sollte das Modul (eigentlich problemlos) mit KeyHelp harmonieren.

[space2place]

Es geht lediglich um die GeoIp Database.
Maxmind hat natürlich auch eine Lite Version der Datenbank: https://dev.maxmind.com/geoip/geoip2/geolite2/
Man muss sich hier nur registrieren.

Die erste Seite zeigt nur wie man das offizielle Modul von iptables installiert. Da muss man auch nichts kompilieren.

[Fuelli]

Vermutlich will er für diese Länder ports generell zumachen (alle). Hm.

Aber vielleicht ist dies ein anderer Gedanke und hilft auch weiter.