Synchronisierung von IP-Blacklists (Prevention) [GELÖST]

[ThomasTailor93]

Hallöchen,

da ich aktuell des Öfteren meine 60MB großen Logdateien durchsuchen muss, wäre es hilfreich, wenn man im Panel eine Option hat, iptables mit Datenbanken zu synchronisieren, wo als Abuse gemeldete IP-Adressen gespeichert werden.

Anderenfalls nehme ich gerne Tipps entgegen, wie ich meine Firewall schärfer stellen kann. Aktuell sind meine Webseiten, meistens ab 3 Uhr bis 6 Uhr, nicht erreichbar. Zum Glück ist ab und zu auch einer dabei, der auch mit Hetzner Servern auf mich schießt. Zum Glück reagiert Hetzner da relativ schnell.

Liebe Grüße

[OlliTheDarkness]

Wenn du die IP Listen als Zeilenweise Datei bekommst

Code: Select all

1.2.3.4
2.1.2.1
1.3.4.5
usw.

dann würde dir denke ich das hier schnell weiterhelfen

Code: Select all

#!/bin/bash
export PATH="/bin:/usr/bin:/sbin:/usr/sbin"
sleep 1
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
wget https://example.com/blacklist.txt
cat blacklist.txt | xargs -n1 iptables -I INPUT -j DROP -s
rm blacklist.txt
rm blacklist.txt.*

[MLan]

Ich hätte da auch noch was:
http://www.ipdeny.com/ipblocks/data/countries/

Hier holst du dir die bösen Länder, speicherst sie unter /root/droplists
wie zb cn.zone und erstellst dir das script , daß alle vorhandenen *.zone files lädt.

Code: Select all

#!/bin/bash

##############
#
# This script adds IP ranges/IPs to chain droplist
#
##############

# Author: GwenDragon 2014-07-17
# Licence: Free use

# droplist files must reside in /root/droplists
# or you should cd to other full path
cd /root/droplists || exit;

# check if rule droplist exists
/sbin/iptables -S droplist >/dev/null 2>/dev/null
if [ $? == 0 ]; # return code is 0 if rule exists
then
    /sbin/iptables -D INPUT -j droplist >/dev/null 2>/dev/null ; # remove reference to chain droplist from INPUT chain
    /sbin/iptables -F droplist ; # flush existing chain droplist
    /sbin/iptables -X droplist ; # delete chain droplist
fi

/sbin/iptables -N droplist ; # create new chain droplist
/sbin/iptables -I INPUT -j droplist ; # insert chain on top of INPUT chain

# get files in droplist directory
for COUNTRY in *.zone ;
do
    CNA=`basename $COUNTRY .zone | tr '[:lower:]' '[:upper:]'` ; # get country id (uppercase) from filename
    CN=`basename $COUNTRY .zone`; # create filename for zone file
    for LINE in `cat $CN.zone` ; # read netmasks/IPs from file
    do
##      /sbin/iptables -A droplist -s $LINE -j LOG --log-prefix "IPTables: droplist $CNA " ; # append log rule for netmask/IP
        /sbin/iptables -A droplist -s $LINE -j DROP ; # append dropping rule for netmask/IP
    done
done

/sbin/iptables -A droplist -j RETURN ; # append a return from chain to droplist chain

exit 0 ;

Gruß Mlan

[RHarms]

Ich hätte da auch noch was:
http://www.ipdeny.com/ipblocks/data/countries/

Hier holst du dir die bösen Länder, speicherst sie unter /root/droplists
wie zb cn.zone und erstellst dir das script , daß alle vorhandenen *.zone files lädt.

Habe schon öfter darüber nachgedacht, das dies ein schönes Feature für Keyhelp wäre .... das Blocken von Ländern.

[stfn116]

Ich hätte da auch noch was:
http://www.ipdeny.com/ipblocks/data/countries/

Hier holst du dir die bösen Länder, speicherst sie unter /root/droplists
wie zb cn.zone und erstellst dir das script , daß alle vorhandenen *.zone files lädt.

Habe schon öfter darüber nachgedacht, das dies ein schönes Feature für Keyhelp wäre .... das Blocken von Ländern.

wie sieht das dann aus, wenn der Kunde im Ausland ist und auf den/die Server zugreifen will?
Geoblocking - gegen Spambots oder SSH-Zugriffe finde ich generell gut - aber man muss auch schauen, dass man niemanden aussperrt.

[RHarms]

Ich hätte da auch noch was:
http://www.ipdeny.com/ipblocks/data/countries/

Hier holst du dir die bösen Länder, speicherst sie unter /root/droplists
wie zb cn.zone und erstellst dir das script , daß alle vorhandenen *.zone files lädt.

Habe schon öfter darüber nachgedacht, das dies ein schönes Feature für Keyhelp wäre .... das Blocken von Ländern.

wie sieht das dann aus, wenn der Kunde im Ausland ist und auf den/die Server zugreifen will?
Geoblocking - gegen Spambots oder SSH-Zugriffe finde ich generell gut - aber man muss auch schauen, dass man niemanden aussperrt.

Also ich habe z.B. einen Server NUR mit lokalen Anbietern wie z.B. KfZ-Werkstatt, Autoglas, Fahrschule usw. Glaube kaum das die auf Besucher aus dem Ausland angewiesen sind. Mit GeoIP möchte ich ja auch nicht alle anderen Länder sperren, aber für einen Server wie den genannten könnte man doch einiges blocken.

[Jolinar]

Geoblocking - gegen Spambots oder SSH-Zugriffe finde ich generell gut - aber man muss auch schauen, dass man niemanden aussperrt.

In diesem Kontext möchte ich auch zu bedenken geben, daß Geoblocking (zumindest bei Nutzung des IPv4-Protokolls) schon heute nicht mehr zuverlässig funktioniert und in naher Zukunft noch weniger funktionieren wird.
Dies resultiert aus zwei Gründen:
1. Es werden aufgrund der Knappheit von IPv4-Adressen immer öfter IP-Bereiche aus anderen Geolokalisationen neu verteilt
2. Spammer sind auch nicht doof und holen sich für eine effizientere Spamverteilung ebenfalls immer öfter geolokalisierte IP-Adressen, um Geoblocking so erfolgreich und mit wenig Aufwand umgehen zu können und ihren Spam in den gewünschten "Zielgebieten" abzuladen.

Unter diesem Blickwinkel halte ich auch eine Integration von Geoblocking ins Panel für wenig zielführend.