Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Projekt-Hosting: Tagelanger DDoS…

Vor ganz China blocken?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Vor ganz China blocken?

    Autor: Wimmmmmmmmy 30.03.15 - 14:13

    Oh nun bin ich neugierig. Wie bekommt man das hin ;-)

    Ich würde gerne mancmal mich vor Russland, Polen und auch China direkt abblocken.

    Ständig kommen aus den Regionen Angriffe auf meiner 22. Es kann zwar nichts passieren, trotzdem nerven ständig die logs darüber.

    Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(

  2. Re: Vor ganz China blocken?

    Autor: gaelic 30.03.15 - 14:16

    Hab ich auch aufm ssh Port. Und ich hab auch nur den offen, alles andere ist ja mittlerweile fast fahrlässig.
    Ich blocke dauerhaft nach dem 3. erfolglosen Anmeldeversuch, dennoch jeden Tag xxx neue Versuche aus dieser IP Region. Bin schon gespannt wie das mit IPv6 dann laufen wird :P

  3. Re: Vor ganz China blocken?

    Autor: Sharra 30.03.15 - 14:22

    Wie wärs, wenn du dir von der IANA die Auskunft holst, welche ip-Ranges dem Eurasischen Block zugeteilt wurden, und du einfach diese komplette Range sperrst? Ich vermute mal schwer, du wirst keine Angebote von dort nutzen, und kannst somit die kompletten Kontinentalblöcke einfach ausfiltern.

  4. Re: Vor ganz China blocken?

    Autor: Tantalus 30.03.15 - 14:27

    Wimmmmmmmmy schrieb:
    --------------------------------------------------------------------------------
    > Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann
    > der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(

    Warum gehst Du dann nicht den umgekehrten Weg über eine Whitelist? Du wirst doch bestimmt wissen, über welche Provider Du i.d.R. auf Deinen SSH zugreifst.

    Gruß
    Tantalus

    ___________________________

    Man sollte sich die Ruhe und Nervenstärke eines Stuhles zulegen. Der muss auch mit jedem Arsch klarkommen.

  5. Re: Vor ganz China blocken?

    Autor: Wimmmmmmmmy 30.03.15 - 14:44

    Tantalus schrieb:
    --------------------------------------------------------------------------------
    > Wimmmmmmmmy schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Als ich mal versucht habe ganze IP-Blöcke auszufiltern, sagte irgendwann
    > > der IP-Filter/iptables schluss jetzt. Es wird zuviel :-(
    >
    > Warum gehst Du dann nicht den umgekehrten Weg über eine Whitelist? Du wirst
    > doch bestimmt wissen, über welche Provider Du i.d.R. auf Deinen SSH
    > zugreifst.


    Das hatte ich früher. Doch meine Provider halten sich nicht so daran. Musste das aufgeben.
    Portwechsel ging auch nicht gut, oft werden manchmal untypische Ports gesperrt.
    Und die hier o.g. Autosperre war auch leider zuvoll am ende.

    Entwede lebe ich mit den Massenlogs oder sperre die drei nervenden Länder ggg.


    Technisch würde es mich auf jedenfall interessieren, wie die einfach so ganz China ausgesperrt haben.

  6. Re: Vor ganz China blocken?

    Autor: MrCrankHank 30.03.15 - 15:30

    Es gibt für iptables ein geoip modul, benutzte ich schon länger. Damit kann man komplette länder rausfiltern oder nur bestimmte zulassen.
    Das Modul ist Teil einer Erweiterung und nicht im Kernel vorhanden, muss also selbst kompiliert werden.

    Eine andere Möglichkeit um seeeehr viele IPs zu filtern bietet ipset in Kombination mit iptables.

    http://ipset.netfilter.org/
    https://open-admin.de/howto/laender-mittels-iptables-aussperren/

  7. Re: Vor ganz China blocken?

    Autor: Cyberlink 30.03.15 - 15:32

    Du kannst das relativ einfach mit iptables und einer geoip Datenbank realisieren.

    => http://www.wipmania.com/en/blog/geoip-for-iptables/

    Kostenlose DBs haben meist nur die Länder ISOs drin, die kostenpflichtigen dann auch Kontinente und Regionen.

    Ein Beispiel einer Whitelist:
    ##############################################################################
    # GEOIP

    -N GEODROP
    # Allow private network ranges
    -A GEODROP -s 10.0.0.0/8 -j RETURN
    -A GEODROP -s 172.16.0.0/12 -j RETURN
    -A GEODROP -s 192.168.0.0/16 -j RETURN

    # Allow switzerland,lichtenstein and all european countries
    -A GEODROP -m geoip --src-cc EU -j RETURN
    -A GEODROP -m geoip --src-cc BE -j RETURN
    -A GEODROP -m geoip --src-cc BG -j RETURN
    -A GEODROP -m geoip --src-cc DK -j RETURN
    -A GEODROP -m geoip --src-cc DE -j RETURN
    -A GEODROP -m geoip --src-cc EE -j RETURN
    -A GEODROP -m geoip --src-cc FI -j RETURN
    -A GEODROP -m geoip --src-cc FR -j RETURN
    -A GEODROP -m geoip --src-cc GR -j RETURN
    -A GEODROP -m geoip --src-cc IE -j RETURN
    -A GEODROP -m geoip --src-cc IT -j RETURN
    -A GEODROP -m geoip --src-cc HR -j RETURN
    -A GEODROP -m geoip --src-cc LV -j RETURN
    -A GEODROP -m geoip --src-cc LT -j RETURN
    -A GEODROP -m geoip --src-cc LU -j RETURN
    -A GEODROP -m geoip --src-cc MT -j RETURN
    -A GEODROP -m geoip --src-cc NL -j RETURN
    -A GEODROP -m geoip --src-cc AT -j RETURN
    -A GEODROP -m geoip --src-cc PL -j RETURN
    -A GEODROP -m geoip --src-cc PT -j RETURN
    -A GEODROP -m geoip --src-cc RO -j RETURN
    -A GEODROP -m geoip --src-cc SE -j RETURN
    -A GEODROP -m geoip --src-cc SK -j RETURN
    -A GEODROP -m geoip --src-cc ES -j RETURN
    -A GEODROP -m geoip --src-cc CZ -j RETURN
    -A GEODROP -m geoip --src-cc HU -j RETURN
    -A GEODROP -m geoip --src-cc GB -j RETURN
    -A GEODROP -m geoip --src-cc CH -j RETURN
    -A GEODROP -m geoip --src-cc LI -j RETURN
    -A GEODROP -m geoip --src-cc CY -j RETURN
    -A GEODROP -m geoip --src-cc SI -j RETURN

    # Allow norway
    -A GEODROP -m geoip --src-cc NO -j RETURN

    # Allow usa,canada,australia and new zealand
    -A GEODROP -m geoip --src-cc US -j RETURN
    -A GEODROP -m geoip --src-cc CA -j RETURN
    -A GEODROP -m geoip --src-cc AU -j RETURN
    -A GEODROP -m geoip --src-cc NZ -j RETURN

    # Log and Drop Requests from unsave contries
    -A GEODROP -j LOG --log-prefix "GEODROP "
    -A GEODROP -j REJECT --reject-with icmp-host-prohibited

    ###############################################################################
    # FORWARD CHAIN

    -A FORWARD -i eth0 -j GEODROP

  8. Re: Vor ganz China blocken?

    Autor: elgooG 30.03.15 - 16:10

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Es gibt für iptables ein geoip modul, benutzte ich schon länger. Damit kann
    > man komplette länder rausfiltern oder nur bestimmte zulassen.
    > Das Modul ist Teil einer Erweiterung und nicht im Kernel vorhanden, muss
    > also selbst kompiliert werden.
    >
    > Eine andere Möglichkeit um seeeehr viele IPs zu filtern bietet ipset in
    > Kombination mit iptables.
    >
    > ipset.netfilter.org
    > open-admin.de

    Ebenfalls empfehlenswert ist übrigens: http://www.ipdeny.com/ipblocks/

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  9. Re: Vor ganz China blocken?

    Autor: sehr_interessant 30.03.15 - 16:17

    Der Angriff kommt auch von Clients außerhalb Chinas.

    Die beste Gegenwehr wäre wohl, den Traffic zu multiplizieren und auf chinesische Behördenseiten weiterzuleiten.

  10. Re: Vor ganz China blocken?

    Autor: elgooG 30.03.15 - 16:26

    Ich wusste gar nicht, dass Firewall-Regeln derart rassistisch sein können. ;D

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  11. Re: Vor ganz China blocken?

    Autor: azeu 30.03.15 - 16:33

    Du könntest Deinen SSH Server einfach auf einen anderen Port hören lassen z.B.

    DU bist ...

  12. Re: Vor ganz China blocken?

    Autor: Moe479 30.03.15 - 16:50

    logrotate hilft, damit die dinger nicht ewig anwachsen, ansonsten das logging abschalten, wenn du dir sicher bist, dass alles sicher ist/ du es nicht brauchst ...

    die vielen 404-quittierten zugriffe/scans kommen i.d.r von bots, die z.b. versuchen ne alte pma version zu finden(auch ne neuere sollte man nicht ohne weiteres dem www öffnen), und nen angriff über ne chinesische ip muss nicht zwangsläufig nen chniesischen ursprung haben ... dort gibt es nur die meisten rechner ;)

  13. Re: Vor ganz China blocken?

    Autor: Moe479 30.03.15 - 16:53

    wenn, dann sind sie national ...

  14. Re: Vor ganz China blocken?

    Autor: fuzzy 30.03.15 - 17:36

    Wenn es für IPTables zu viel wird, muss eben IPSet einspringen. ;)
    Du solltest die Netze natürlich auch so groß wie möglich fassen.

    Baumansicht oder Zitieren oder nicht Posten - die Wahl ist eure!

  15. Re: Vor ganz China blocken?

    Autor: narea 30.03.15 - 20:47

    Wimmmmmmmmy schrieb:
    --------------------------------------------------------------------------------
    > Oh nun bin ich neugierig. Wie bekommt man das hin ;-)
    >
    > Ich würde gerne mancmal mich vor Russland, Polen und auch China direkt
    > abblocken.
    >
    > Ständig kommen aus den Regionen Angriffe auf meiner 22. Es kann zwar nichts
    > passieren, trotzdem nerven ständig die logs darüber.

    Und warum hast du ssh auf 22? Mach es halt auf einen anderen der 65k ports. Bei mir kommt nix an.

  16. Re: Vor ganz China blocken?

    Autor: MrCrankHank 30.03.15 - 21:34

    Was bringt das?

    Die Bots können gern versuchen sich da anzumelden. Public key authentication und gut ist.

    Ich persönlich halte Fail2Ban und Port verlegen für security through obscurity.

    Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut die Spreu vom Weizen trennen,



    1 mal bearbeitet, zuletzt am 30.03.15 21:36 durch MrCrankHank.

  17. Re: Vor ganz China blocken?

    Autor: ConiKost 30.03.15 - 22:24

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Was bringt das?
    >
    > Die Bots können gern versuchen sich da anzumelden. Public key
    > authentication und gut ist.
    >
    > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > obscurity.
    >
    > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut
    > die Spreu vom Weizen trennen,

    Warum? Port verlegen sehe ich nicht als Sicherheitsgewinn. Es hält einfach die Logs leer. Seit mein SSH auf einem Port > 1024 liegt, werden meine Logs nicht mehr zugemüllt.. Hat IMHO rein garnix mit security through obscurity zu tun.

  18. Re: Vor ganz China blocken?

    Autor: narea 31.03.15 - 00:42

    MrCrankHank schrieb:
    --------------------------------------------------------------------------------
    > Was bringt das?
    >
    > Die Bots können gern versuchen sich da anzumelden. Public key
    > authentication und gut ist.
    >
    > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > obscurity.
    >
    > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz gut
    > die Spreu vom Weizen trennen,

    Für was Ressourcen/CPU mit Logs verschwenden, wenn es problemlos ohne geht?
    Zumal, falls irgendwann mal irgendeine Lücke in ssh bekannt werden würde, hast du mit 22 Probleme; mit 51753 nicht, da es einfach niemand scannen wird, da es eben tausende andere einfachere Ziele gibt.

  19. Re: Vor ganz China blocken?

    Autor: Smile 31.03.15 - 01:10

    der Tipp mit den ip Tablets ist schon Gold wert.

    Hier gibt's auch ne Step für Step Anleitung: http://sven-goessling.de/19/02/2015/centos-6-5-server-mit-iptables-und-geoip-schuetzen/

  20. Re: Vor ganz China blocken?

    Autor: der_wahre_hannes 31.03.15 - 08:11

    narea schrieb:
    --------------------------------------------------------------------------------
    > MrCrankHank schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Was bringt das?
    > >
    > > Die Bots können gern versuchen sich da anzumelden. Public key
    > > authentication und gut ist.
    > >
    > > Ich persönlich halte Fail2Ban und Port verlegen für security through
    > > obscurity.
    > >
    > > Verstehe nicht was an den Logs so schlimm ist. Mit grep kann man ganz
    > gut
    > > die Spreu vom Weizen trennen,
    >
    > Für was Ressourcen/CPU mit Logs verschwenden, wenn es problemlos ohne
    > geht?

    Wenn deine Ressourcen durch das Schreiben von Logs so sehr in Mitleidenschaft gezogen werden, dass das viele Loggen tatsächlich ein Problem ist, dann hat dein System mMn ganz andere Probleme als das, dass viel geloggt wird...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Dataport, Hamburg
  2. Athmer oHG, Arnsberg-Müschede
  3. Hochschule Heilbronn, Heilbronn-Sontheim
  4. Systemhaus Scheuschner GmbH, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (-87%) 1,99€
  2. 29,99€
  3. 4,99€
  4. 15,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Disintegration angespielt: Fast wie ein Master Chief mit Privatarmee
Disintegration angespielt
Fast wie ein Master Chief mit Privatarmee

Gamescom 2019 Ein dick gepanzerter Held auf dem Schwebegleiter plus bis zu vier Fußsoldaten, denen man Befehle erteilen kann: Das ist die Idee hinter Disintegration. Golem.de hat das Actionspiel ausprobiert.
Von Peter Steinlechner

  1. Omen HP erweitert das Command Center um Spiele-Coaching
  2. Games Spielentwickler bangen weiter um Millionenförderung
  3. Gamescom Opening Night Hubschrauber, Historie plus Tag und Nacht für Anno 1800

Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. Carver Elektro-Kabinenroller als Dreirad mit Neigetechnik
  2. Versicherung Fahrer von teuren Elektroautos häufig in Unfälle verwickelt
  3. Elektroauto Neuer Chevrolet Bolt fährt 34 km weiter

Mobile Payment: Mit QR-Code-Kooperation zum europäischen Standard
Mobile Payment
Mit QR-Code-Kooperation zum europäischen Standard

Die Mobile Wallet Collaboration will ein einheitliches QR-Format als technische Grundlage für ein vereinfachtes Handling etablieren. Die Allianz aus sechs europäischen Bezahldiensten und Alipay aus China ist eine ernstzunehmende Konkurrenz für Google, Apple, Facebook, Amazon.
Von Sabine T. Ruh


    1. Streetscooter: UPS will die Elektroautos der Post nicht
      Streetscooter
      UPS will die Elektroautos der Post nicht

      Das Logistikunternehmen UPS will seine Fahrzeuge auf saubere Antriebe umrüsten, auch elektrische. Konkurrent Deutsche Post hat mit dem Streetscooter ein Elektroauto im Angebot. Das will UPS aber nicht einsetzen.

    2. Falsche Wartezeiten: Bräustüberl versus Google
      Falsche Wartezeiten
      Bräustüberl versus Google

      Gäste loben bei den Google-Bewertungen die schnelle Bedienung im Bräustüberl Tegernsee - trotzdem gab Google teils lange Wartezeiten an. In dem Fall, der nun vor Gericht verhandelt wird, geht es aber auch um eine grundsätzliche Rechtsfrage.

    3. iPhone und Co.: Apple Stores sollen wieder bessere Kundenbetreuung bieten
      iPhone und Co.
      Apple Stores sollen wieder bessere Kundenbetreuung bieten

      Wer einmal in einem Apple Store war, wird das Bild kennen: Dutzende Tische mit iPhones, iPads und PCs, dazwischen manchmal Hunderte Ladenbesucher - und zwischendrin versteckt die Mitarbeiter. Für Kunden soll es künftig in Apples Läden einfacher sein, Hilfe und Beratung zu erhalten.


    1. 11:31

    2. 11:26

    3. 11:16

    4. 11:06

    5. 10:35

    6. 10:28

    7. 10:11

    8. 09:50