[Eisfair] Block_Complete_Networks mit Geoip
Dirk Alberti
Howy-1 at gmx.de
Fr Jul 28 06:57:01 CEST 2017
Moin Olaf,
Am 27.07.2017 um 21:56 schrieb Olaf Jaehrling:
> Hallo Dirk,
>
> Dirk Alberti schrieb am 27.07.2017 um 19:06:
>> Hallo zusammen,
>>
>> ich nutze schon seit längerem das BCN-Paket und mache mittels
>> "Remote-Blocking" schon am Fli4l-Router dicht.
>>
>> Jetzt habe ich aber etwas gefunden von einem GeoIP-Modul für iptables. (1)
>> Würde das vielleicht die Arbeit des BCN-Paketes etwas vereinfachen und
>> man könnte schneller große IP-Bereiche blocken?
> Jupp, das würde die ganze Sache vereinfachen. Dazu müsste aber iptables
> bzw der Kernel neu kompiliert werden.
>
ok, und das müsste dann wohl jeweils bei Eisfair und Fli4l unabhängig
voneinander passieren.
> Danach wäre es ja einfach (in deinem Fall vermutlich als whitelist)
> ==================== Whitelist ======================================
> Allow ssh for own country(DE) and the country where you take holidays(FR)
>
> iptables -A INPUT -p tcp --dport 22 -m geoip --src-cc DE,FR -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -j DROP
Ob das dann trotzdem die Mobil-Internetprovider mit abdecken würde? Da
gabs doch immer Probleme mit deren IP-Ranges quer durch den Gemüsegarten...
> ==================== Blacklist ======================================
> Block access to FTP server for Papua New Guinea (PG)
>
> iptables -A INPUT -p tcp --dport 21 -m geoip --src-cc PG -j DROP
> iptables -A INPUT -p tcp --dport 21 -j ACCEPT
> =====================================================================
Das wäre ein riesiger Unterschied gegenüber den tausenden von
iptables-Einträgen, wenn man mehrere Länder blocken möchte.
> Gruß
>
> Olaf
>
>
Grüße
Dirk
Mehr Informationen über die Mailingliste Eisfair