[Eisfair] Netzwerkfilter "Europa" oder "Deutschland"? (bfb?)

[Olaf Jaehrling]

Hallo alles zusammen,

ich antworte hier mal stellvertretend für alle Meinungen.

kay schrieb am 24.04.2017 um 18:55:
> Am 24.04.2017 um 14:11 schrob Olaf Jaehrling:
>>

> 
> Wenn ich je einen EIS ins Internet hängen (oder von dort erreichbar
> machen) wollte, dann: Ja. Mit dem gleichen Wunsch wie die anderen, das
> man zwischen Whitelist und Blacklist wählen kann. 

das ist das Problem. Die Umschaltung selber ist relativ einfach, die
nachfolgende Handhabung aber nicht.
Blacklist hat den Vorteil, das man bestimmte Netze stumpf blockt und das
Risiko gering ist sich selber auszusperren. Dafür wird die Sperrliste
länger.
Whitelist hat den Vorteil dass es keine Sperrliste als solches gibt,
sondern im Verhältnis eine kleine Freigabeliste. Dafür hat sie den
Nachteil, dann man bei einem Fehler und/oder einer Änderung der
Netzzuordnung sich selber ganz schnell aussperrt. GeoIP ist leider nicht
tages-, wochen- oder monatsaktuell. Ich sehe das immer bei einem meiner
Server. Dort ist nur DE erlaubt und regelmäßig kann ich mich nicht
einloggen wenn ich über Handy komme, weil das Netz lt. GeoIP (noch)
nicht in DE ist.

Ein ehemaliger Server von mir, welcher in Hannover stand ist lt GeoIP in
Europa, nicht DE
zcat /tmp/GeoIPCountryCSV.zip | grep 80.86.190
"80.86.187.0","80.86.190.73","1347861248","1347862089","EU","Europe"
lt nirsoft liegt er in DE

Guuut, DE ist in EU .... :) ... noch *lach*

Ausserdem können bei einer whitliste andere Programme, welche iptables
verwenden die Liste aushebeln und demzufolge falsche Sicherheit vorgaukeln.

Das alles in einen einzigen Paket mit entsprechender Doku ist recht
aufwändig. Eine whitelist sollte so spät wie möglich gestartet werden;
eine blacklist so früh wie möglich

Ich werde es aber versuchen in einem Pakt zu bündeln, wäre aber dankbar,
wenn ihr mir bei der Doku helft indem ihr bei den Test bei komischen
Verhalten mir die Gründe dafür zukommen lasst.



> Ggf. sogar mit der
> Erweiterung bestimmte Adressbereiche manuell hinzu fügen zu können.
> Falls das noch nicht geht. Ich kenne das Paket nicht, wusste ja nicht
> mal das es existiert.

Diese Möglichkeit gibt es beim aktuellen BCN (block_complete_Network)
schon. Das neue Pakete müsste aber einen neuen Namen haben.

Vorschläge?
> 
> Vielleicht ist es ja auch nonsens. Ich denke nur das man evtl. nicht
> unbedingt sicher sein kann das ein Adressbereich auch länderspezifisch
> korrekt ist. Vielleicht bei Dialup-IPs oder um nur ein Internes Netzwerk
> zu selektieren... Da wäre das dann praktisch, meine ich.

Genau, siehe oben. Es ist also mit Vorsicht zu genießen.

Danke für die Rückmeldungen.

Lieben Gruß

Olaf


> 
> Kay
>