Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Projekt-Hosting: Tagelanger DDoS…

Vor ganz China blocken?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Vor ganz China blocken?

    Autor: Wimmmmmmmmy 30.03.15 - 14:13

    Oh nun bin ich neugierig. Wie bekommt man das hin ;-)

    Ich würde gerne mancmal mich vor Russland, Polen und auch China direkt abblocken.

    Ständig kommen aus den Regionen Angriffe auf meiner 22. Es kann zwar nichts passieren, trotzdem nerven ständig die logs darüber.

    Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(

  2. Re: Vor ganz China blocken?

    Autor: gaelic 30.03.15 - 14:16

    Hab ich auch aufm ssh Port. Und ich hab auch nur den offen, alles andere ist ja mittlerweile fast fahrlässig.
    Ich blocke dauerhaft nach dem 3. erfolglosen Anmeldeversuch, dennoch jeden Tag xxx neue Versuche aus dieser IP Region. Bin schon gespannt wie das mit IPv6 dann laufen wird :P

  3. Re: Vor ganz China blocken?

    Autor: Sharra 30.03.15 - 14:22

    Wie wärs, wenn du dir von der IANA die Auskunft holst, welche ip-Ranges dem Eurasischen Block zugeteilt wurden, und du einfach diese komplette Range sperrst? Ich vermute mal schwer, du wirst keine Angebote von dort nutzen, und kannst somit die kompletten Kontinentalblöcke einfach ausfiltern.

  4. Re: Vor ganz China blocken?

    Autor: Tantalus 30.03.15 - 14:27

    Wimmmmmmmmy schrieb:
    --------------------------------------------------------------------------------
    > Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann
    > der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(

    Warum gehst Du dann nicht den umgekehrten Weg über eine Whitelist? Du wirst doch bestimmt wissen, über welche Provider Du i.d.R. auf Deinen SSH zugreifst.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  5. Re: Vor ganz China blocken?

    Autor: Wimmmmmmmmy 30.03.15 - 14:44

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > Wimmmmmmmmy schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann
    > > der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(
    >
    > Warum gehst Du dann nicht den umgekehrten Weg über eine Whitelist? Du wirst
    > doch bestimmt wissen, über welche Provider Du i.d.R. auf Deinen SSH
    > zugreifst.


    Das hatte ich früher. Doch meine Provider halten sich nicht so daran. Musste das aufgeben.
    Portwechsel ging auch nicht gut, oft werden manchmal untypische Ports gesperrt.
    Und die hier o.g. Autosperre war auch leider zuvoll am ende.

    Entwede lebe ich mit den Massenlogs oder sperre die drei nervenden Länder ggg.


    Technisch würde es mich auf jedenfall interessieren, wie die einfach so ganz China ausgesperrt haben.

  6. Re: Vor ganz China blocken?

    Autor: MrCrankHank 30.03.15 - 15:30

    Es gibt für iptables ein geoip modul, benutzte ich schon länger. Damit kann man komplette länder rausfiltern oder nur bestimmte zulassen.
    Das Modul ist Teil einer Erweiterung und nicht im Kernel vorhanden, muss also selbst kompiliert werden.

    Eine andere Möglichkeit um seeeehr viele IPs zu filtern bietet ipset in Kombination mit iptables.

    http://ipset.netfilter.org/
    https://open-admin.de/howto/laender-mittels-iptables-aussperren/

  7. Re: Vor ganz China blocken?

    Autor: Cyberlink 30.03.15 - 15:32

    Du kannst das relativ einfach mit iptables und einer geoip Datenbank realisieren.

    => http://www.wipmania.com/en/blog/geoip-for-iptables/

    Kostenlose DBs haben meist nur die Länder ISOs drin, die kostenpflichtigen dann auch Kontinente und Regionen.

    Ein Beispiel einer Whitelist:
    ##############################################################################
    # GEOIP

    -N GEODROP
    # Allow private network ranges
    -A GEODROP -s 10.0.0.0/8 -j RETURN
    -A GEODROP -s 172.16.0.0/12 -j RETURN
    -A GEODROP -s 192.168.0.0/16 -j RETURN

    # Allow switzerland,lichtenstein and all european countries
    -A GEODROP -m geoip --src-cc EU -j RETURN
    -A GEODROP -m geoip --src-cc BE -j RETURN
    -A GEODROP -m geoip --src-cc BG -j RETURN
    -A GEODROP -m geoip --src-cc DK -j RETURN
    -A GEODROP -m geoip --src-cc DE -j RETURN
    -A GEODROP -m geoip --src-cc EE -j RETURN
    -A GEODROP -m geoip --src-cc FI -j RETURN
    -A GEODROP -m geoip --src-cc FR -j RETURN
    -A GEODROP -m geoip --src-cc GR -j RETURN
    -A GEODROP -m geoip --src-cc IE -j RETURN
    -A GEODROP -m geoip --src-cc IT -j RETURN
    -A GEODROP -m geoip --src-cc HR -j RETURN
    -A GEODROP -m geoip --src-cc LV -j RETURN
    -A GEODROP -m geoip --src-cc LT -j RETURN
    -A GEODROP -m geoip --src-cc LU -j RETURN
    -A GEODROP -m geoip --src-cc MT -j RETURN
    -A GEODROP -m geoip --src-cc NL -j RETURN
    -A GEODROP -m geoip --src-cc AT -j RETURN
    -A GEODROP -m geoip --src-cc PL -j RETURN
    -A GEODROP -m geoip --src-cc PT -j RETURN
    -A GEODROP -m geoip --src-cc RO -j RETURN
    -A GEODROP -m geoip --src-cc SE -j RETURN
    -A GEODROP -m geoip --src-cc SK -j RETURN
    -A GEODROP -m geoip --src-cc ES -j RETURN
    -A GEODROP -m geoip --src-cc CZ -j RETURN
    -A GEODROP -m geoip --src-cc HU -j RETURN
    -A GEODROP -m geoip --src-cc GB -j RETURN
    -A GEODROP -m geoip --src-cc CH -j RETURN
    -A GEODROP -m geoip --src-cc LI -j RETURN
    -A GEODROP -m geoip --src-cc CY -j RETURN
    -A GEODROP -m geoip --src-cc SI -j RETURN

    # Allow norway
    -A GEODROP -m geoip --src-cc NO -j RETURN

    # Allow usa,canada,australia and new zealand
    -A GEODROP -m geoip --src-cc US -j RETURN
    -A GEODROP -m geoip --src-cc CA -j RETURN
    -A GEODROP -m geoip --src-cc AU -j RETURN
    -A GEODROP -m geoip --src-cc NZ -j RETURN

    # Log and Drop Requests from unsave contries
    -A GEODROP -j LOG --log-prefix "GEODROP "
    -A GEODROP -j REJECT --reject-with icmp-host-prohibited

    ###############################################################################
    # FORWARD CHAIN

    -A FORWARD -i eth0 -j GEODROP

  8. Re: Vor ganz China blocken?

    Autor: elgooG 30.03.15 - 16:10

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Es gibt für iptables ein geoip modul, benutzte ich schon länger. Damit kann
    > man komplette länder rausfiltern oder nur bestimmte zulassen.
    > Das Modul ist Teil einer Erweiterung und nicht im Kernel vorhanden, muss
    > also selbst kompiliert werden.
    >
    > Eine andere Möglichkeit um seeeehr viele IPs zu filtern bietet ipset in
    > Kombination mit iptables.
    >
    > ipset.netfilter.org
    > open-admin.de

    Ebenfalls empfehlenswert ist übrigens: http://www.ipdeny.com/ipblocks/

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  9. Re: Vor ganz China blocken?

    Autor: sehr_interessant 30.03.15 - 16:17

    Der Angriff kommt auch von Clients außerhalb Chinas.

    Die beste Gegenwehr wäre wohl, den Traffic zu multiplizieren und auf chinesische Behördenseiten weiterzuleiten.

  10. Re: Vor ganz China blocken?

    Autor: elgooG 30.03.15 - 16:26

    Ich wusste gar nicht, dass Firewall-Regeln derart rassistisch sein können. ;D

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  11. Re: Vor ganz China blocken?

    Autor: azeu 30.03.15 - 16:33

    Du könntest Deinen SSH Server einfach auf einen anderen Port hören lassen z.B.

    DU bist ...

  12. Re: Vor ganz China blocken?

    Autor: Moe479 30.03.15 - 16:50

    logrotate hilft, damit die dinger nicht ewig anwachsen, ansonsten das logging abschalten, wenn du dir sicher bist, dass alles sicher ist/ du es nicht brauchst ...

    die vielen 404-quittierten zugriffe/scans kommen i.d.r von bots, die z.b. versuchen ne alte pma version zu finden(auch ne neuere sollte man nicht ohne weiteres dem www öffnen), und nen angriff über ne chinesische ip muss nicht zwangsläufig nen chniesischen ursprung haben ... dort gibt es nur die meisten rechner ;)

  13. Re: Vor ganz China blocken?

    Autor: Moe479 30.03.15 - 16:53

    wenn, dann sind sie national ...

  14. Re: Vor ganz China blocken?

    Autor: fuzzy 30.03.15 - 17:36

    Wenn es für IPTables zu viel wird, muss eben IPSet einspringen. ;)
    Du solltest die Netze natürlich auch so groß wie möglich fassen.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  15. Re: Vor ganz China blocken?

    Autor: narea 30.03.15 - 20:47

    Wimmmmmmmmy schrieb:
    --------------------------------------------------------------------------------
    > Oh nun bin ich neugierig. Wie bekommt man das hin ;-)
    >
    > Ich würde gerne mancmal mich vor Russland, Polen und auch China direkt
    > abblocken.
    >
    > Ständig kommen aus den Regionen Angriffe auf meiner 22. Es kann zwar nichts
    > passieren, trotzdem nerven ständig die logs darüber.

    Und warum hast du ssh auf 22? Mach es halt auf einen anderen der 65k ports. Bei mir kommt nix an.

  16. Re: Vor ganz China blocken?

    Autor: MrCrankHank 30.03.15 - 21:34

    Was bringt das?

    Die Bots können gern versuchen sich da anzumelden. Public key authentication und gut ist.

    Ich persönlich halte Fail2Ban und Port verlegen für security through obscurity.

    Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut die Spreu vom Weizen trennen,



    1 mal bearbeitet, zuletzt am 30.03.15 21:36 durch MrCrankHank.

  17. Re: Vor ganz China blocken?

    Autor: ConiKost 30.03.15 - 22:24

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Was bringt das?
    >
    > Die Bots können gern versuchen sich da anzumelden. Public key
    > authentication und gut ist.
    >
    > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > obscurity.
    >
    > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut
    > die Spreu vom Weizen trennen,

    Warum? Port verlegen sehe ich nicht als Sicherheitsgewinn. Es hält einfach die Logs leer. Seit mein SSH auf einem Port > 1024 liegt, werden meine Logs nicht mehr zugemüllt.. Hat IMHO rein garnix mit security through obscurity zu tun.

  18. Re: Vor ganz China blocken?

    Autor: narea 31.03.15 - 00:42

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Was bringt das?
    >
    > Die Bots können gern versuchen sich da anzumelden. Public key
    > authentication und gut ist.
    >
    > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > obscurity.
    >
    > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut
    > die Spreu vom Weizen trennen,

    Für was Ressourcen/CPU mit Logs verschwenden, wenn es problemlos ohne geht?
    Zumal, falls irgendwann mal irgendeine Lücke in ssh bekannt werden würde, hast du mit 22 Probleme; mit 51753 nicht, da es einfach niemand scannen wird, da es eben tausende andere einfachere Ziele gibt.

  19. Re: Vor ganz China blocken?

    Autor: Smile 31.03.15 - 01:10

    der Tipp mit den ip Tablets ist schon Gold wert.

    Hier gibt's auch ne Step für Step Anleitung: http://sven-goessling.de/19/02/2015/centos-6-5-server-mit-iptables-und-geoip-schuetzen/

  20. Re: Vor ganz China blocken?

    Autor: der_wahre_hannes 31.03.15 - 08:11

    narea schrieb:
    --------------------------------------------------------------------------------
    > MrCrankHank schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was bringt das?
    > >
    > > Die Bots können gern versuchen sich da anzumelden. Public key
    > > authentication und gut ist.
    > >
    > > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > > obscurity.
    > >
    > > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz
    > gut
    > > die Spreu vom Weizen trennen,
    >
    > Für was Ressourcen/CPU mit Logs verschwenden, wenn es problemlos ohne
    > geht?

    Wenn deine Ressourcen durch das Schreiben von Logs so sehr in Mitleidenschaft gezogen werden, dass das viele Loggen tatsächlich ein Problem ist, dann hat dein System mMn ganz andere Probleme als das, dass viel geloggt wird...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Bechtle Onsite Services, Oberhausen
  2. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  3. OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
  4. Vorwerk Services GmbH, Wuppertal

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-90%) 5,99€
  3. (-68%) 8,99€
  4. 4,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. Arbeit Hilfe für frustrierte ITler
  2. IT-Arbeitsmarkt Jobgarantie gibt es nie
  3. IT-Fachkräftemangel Freie sind gefragt

Harmony OS: Die große Luftnummer von Huawei
Harmony OS
Die große Luftnummer von Huawei

Mit viel Medienaufmerksamkeit und großen Versprechungen hat Huawei sein eigenes Betriebssystem Harmony OS vorgestellt. Bei einer näheren Betrachtung bleibt von dem großen Wurf allerdings kaum etwas übrig.
Ein IMHO von Sebastian Grüner


    1. Elektromobilität: Singapur zieht Busse dem Tesla-Lifestyle vor
      Elektromobilität
      Singapur zieht Busse dem Tesla-Lifestyle vor

      Elon Musk hat der Regierung von Singapur vor einiger Zeit vorgeworfen, gegen Elektroautos zu sein. Der Tesla-Chef wolle bloß Lifestyle verkaufen, kontert der Umweltminister des Stadtstaates. Seine Regierung suche lieber Lösungen für die Klima- und Verkehrsprobleme.

    2. Fluggastdatenspeicherung: Vielflieger scheitert vor Gericht
      Fluggastdatenspeicherung
      Vielflieger scheitert vor Gericht

      Ein europäischer Fluggast hat gegen das BKA geklagt: Dieses solle seine Fluggastdaten nicht speichern, verarbeiten und übermitteln. Das Verwaltungsgericht Wiesbaden lehnte die Klage jedoch mit dem Verweis auf andere Datensammlungen ab.

    3. Düsseldorf: Xiaomi kündigt erstes Büro in Deutschland an
      Düsseldorf
      Xiaomi kündigt erstes Büro in Deutschland an

      Genau wie Huawei will der Technologiekonzern Xiaomi eine Niederlassung in Düsseldorf eröffnen. Seine Produkte gibt es bereits bei Mediamarkt, Saturn und Amazon.


    1. 16:34

    2. 15:44

    3. 14:42

    4. 14:10

    5. 12:59

    6. 12:45

    7. 12:30

    8. 12:02