Page 1 of 1
Synchronisierung von IP-Blacklists (Prevention)
Posted: Mon 6. May 2019, 18:16
by ThomasTailor93
Hallöchen,
da ich aktuell des Öfteren meine 60MB großen Logdateien durchsuchen muss, wäre es hilfreich, wenn man im Panel eine Option hat, iptables mit Datenbanken zu synchronisieren, wo als Abuse gemeldete IP-Adressen gespeichert werden.
Anderenfalls nehme ich gerne Tipps entgegen, wie ich meine Firewall schärfer stellen kann. Aktuell sind meine Webseiten, meistens ab 3 Uhr bis 6 Uhr, nicht erreichbar. Zum Glück ist ab und zu auch einer dabei, der auch mit Hetzner Servern auf mich schießt. Zum Glück reagiert Hetzner da relativ schnell.
Liebe Grüße
Re: Synchronisierung von IP-Blacklists (Prevention)
Posted: Mon 6. May 2019, 20:54
by OlliTheDarkness
Wenn du die IP Listen als Zeilenweise Datei bekommst
dann würde dir denke ich das hier schnell weiterhelfen
Code: Select all
#!/bin/bash
export PATH="/bin:/usr/bin:/sbin:/usr/sbin"
sleep 1
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
wget https://example.com/blacklist.txt
cat blacklist.txt | xargs -n1 iptables -I INPUT -j DROP -s
rm blacklist.txt
rm blacklist.txt.*
Re: Synchronisierung von IP-Blacklists (Prevention) [GELÖST]
Posted: Mon 6. May 2019, 22:06
by MLan
Ich hätte da auch noch was:
http://www.ipdeny.com/ipblocks/data/countries/
Hier holst du dir die bösen Länder, speicherst sie unter /root/droplists
wie zb cn.zone und erstellst dir das script , daß alle vorhandenen *.zone files lädt.
Code: Select all
#!/bin/bash
##############
#
# This script adds IP ranges/IPs to chain droplist
#
##############
# Author: GwenDragon 2014-07-17
# Licence: Free use
# droplist files must reside in /root/droplists
# or you should cd to other full path
cd /root/droplists || exit;
# check if rule droplist exists
/sbin/iptables -S droplist >/dev/null 2>/dev/null
if [ $? == 0 ]; # return code is 0 if rule exists
then
/sbin/iptables -D INPUT -j droplist >/dev/null 2>/dev/null ; # remove reference to chain droplist from INPUT chain
/sbin/iptables -F droplist ; # flush existing chain droplist
/sbin/iptables -X droplist ; # delete chain droplist
fi
/sbin/iptables -N droplist ; # create new chain droplist
/sbin/iptables -I INPUT -j droplist ; # insert chain on top of INPUT chain
# get files in droplist directory
for COUNTRY in *.zone ;
do
CNA=`basename $COUNTRY .zone | tr '[:lower:]' '[:upper:]'` ; # get country id (uppercase) from filename
CN=`basename $COUNTRY .zone`; # create filename for zone file
for LINE in `cat $CN.zone` ; # read netmasks/IPs from file
do
## /sbin/iptables -A droplist -s $LINE -j LOG --log-prefix "IPTables: droplist $CNA " ; # append log rule for netmask/IP
/sbin/iptables -A droplist -s $LINE -j DROP ; # append dropping rule for netmask/IP
done
done
/sbin/iptables -A droplist -j RETURN ; # append a return from chain to droplist chain
exit 0 ;
Gruß Mlan
Re: Synchronisierung von IP-Blacklists (Prevention)
Posted: Tue 7. May 2019, 07:01
by RHarms
MLan wrote: ↑Mon 6. May 2019, 22:06
Ich hätte da auch noch was:
http://www.ipdeny.com/ipblocks/data/countries/
Hier holst du dir die bösen Länder, speicherst sie unter /root/droplists
wie zb cn.zone und erstellst dir das script , daß alle vorhandenen *.zone files lädt.
Habe schon öfter darüber nachgedacht, das dies ein schönes Feature für Keyhelp wäre .... das Blocken von Ländern.
Re: Synchronisierung von IP-Blacklists (Prevention)
Posted: Tue 7. May 2019, 07:48
by stfn116
RHarms wrote: ↑Tue 7. May 2019, 07:01
MLan wrote: ↑Mon 6. May 2019, 22:06
Ich hätte da auch noch was:
http://www.ipdeny.com/ipblocks/data/countries/
Hier holst du dir die bösen Länder, speicherst sie unter /root/droplists
wie zb cn.zone und erstellst dir das script , daß alle vorhandenen *.zone files lädt.
Habe schon öfter darüber nachgedacht, das dies ein schönes Feature für Keyhelp wäre .... das Blocken von Ländern.
wie sieht das dann aus, wenn der Kunde im Ausland ist und auf den/die Server zugreifen will?
Geoblocking - gegen Spambots oder SSH-Zugriffe finde ich generell gut - aber man muss auch schauen, dass man niemanden aussperrt.
Re: Synchronisierung von IP-Blacklists (Prevention)
Posted: Tue 7. May 2019, 10:52
by RHarms
stfn116 wrote: ↑Tue 7. May 2019, 07:48
RHarms wrote: ↑Tue 7. May 2019, 07:01
MLan wrote: ↑Mon 6. May 2019, 22:06
Ich hätte da auch noch was:
http://www.ipdeny.com/ipblocks/data/countries/
Hier holst du dir die bösen Länder, speicherst sie unter /root/droplists
wie zb cn.zone und erstellst dir das script , daß alle vorhandenen *.zone files lädt.
Habe schon öfter darüber nachgedacht, das dies ein schönes Feature für Keyhelp wäre .... das Blocken von Ländern.
wie sieht das dann aus, wenn der Kunde im Ausland ist und auf den/die Server zugreifen will?
Geoblocking - gegen Spambots oder SSH-Zugriffe finde ich generell gut - aber man muss auch schauen, dass man niemanden aussperrt.
Also ich habe z.B. einen Server NUR mit lokalen Anbietern wie z.B. KfZ-Werkstatt, Autoglas, Fahrschule usw. Glaube kaum das die auf Besucher aus dem Ausland angewiesen sind. Mit GeoIP möchte ich ja auch nicht alle anderen Länder sperren, aber für einen Server wie den genannten könnte man doch einiges blocken.
Re: Synchronisierung von IP-Blacklists (Prevention)
Posted: Tue 7. May 2019, 13:01
by Jolinar
stfn116 wrote: ↑Tue 7. May 2019, 07:48
Geoblocking - gegen Spambots oder SSH-Zugriffe finde ich generell gut - aber man muss auch schauen, dass man niemanden aussperrt.
In diesem Kontext möchte ich auch zu bedenken geben, daß Geoblocking (zumindest bei Nutzung des IPv4-Protokolls) schon heute nicht mehr zuverlässig funktioniert und in naher Zukunft noch weniger funktionieren wird.
Dies resultiert aus zwei Gründen:
1. Es werden aufgrund der Knappheit von IPv4-Adressen immer öfter IP-Bereiche aus anderen Geolokalisationen neu verteilt
2. Spammer sind auch nicht doof und holen sich für eine effizientere Spamverteilung ebenfalls immer öfter geolokalisierte IP-Adressen, um Geoblocking so erfolgreich und mit wenig Aufwand umgehen zu können und ihren Spam in den gewünschten "Zielgebieten" abzuladen.
Unter diesem Blickwinkel halte ich auch eine Integration von Geoblocking ins Panel für wenig zielführend.