[Eisfair] Netzwerkfilter "Europa" oder "Deutschland"? (bfb?)

[Dirk Alberti]

Hallo Olaf,

Am 24.04.2017 um 21:37 schrieb Olaf Jaehrling:
> Hallo alles zusammen,
>
> ich antworte hier mal stellvertretend für alle Meinungen.
>
> kay schrieb am 24.04.2017 um 18:55:
>> Am 24.04.2017 um 14:11 schrob Olaf Jaehrling:
>> Wenn ich je einen EIS ins Internet hängen (oder von dort erreichbar
>> machen) wollte, dann: Ja. Mit dem gleichen Wunsch wie die anderen, das
>> man zwischen Whitelist und Blacklist wählen kann.
> das ist das Problem. Die Umschaltung selber ist relativ einfach, die
> nachfolgende Handhabung aber nicht.
> Blacklist hat den Vorteil, das man bestimmte Netze stumpf blockt und das
> Risiko gering ist sich selber auszusperren. Dafür wird die Sperrliste
> länger.
> Whitelist hat den Vorteil dass es keine Sperrliste als solches gibt,
> sondern im Verhältnis eine kleine Freigabeliste. Dafür hat sie den
> Nachteil, dann man bei einem Fehler und/oder einer Änderung der
> Netzzuordnung sich selber ganz schnell aussperrt. GeoIP ist leider nicht
> tages-, wochen- oder monatsaktuell.

Ok, das erklärt, warum trotz laufendem BCN der "Chinamann" immer mal 
wieder bis zu BFB vordringen kann, wo ihm dann engültig der Hahn 
zugedreht wird.

> Ich sehe das immer bei einem meiner
> Server. Dort ist nur DE erlaubt und regelmäßig kann ich mich nicht
> einloggen wenn ich über Handy komme, weil das Netz lt. GeoIP (noch)
> nicht in DE ist.

Vielleicht eine Hintertür einbauen? Ich hab zwar da nicht so die 
Kennung, aber vielleicht kann man da was mit dem eigenen DynDNS (oder 
anderen gleichartigen Diensten) bzw. deren IP-Ranges koppeln?

>
> Ausserdem können bei einer whitliste andere Programme, welche iptables
> verwenden die Liste aushebeln und demzufolge falsche Sicherheit vorgaukeln.

Meinst Du da sowas wie Squid mit Transparent-Proxy, welcher die 
Umleitung per iptables bekommt?

> Das alles in einen einzigen Paket mit entsprechender Doku ist recht
> aufwändig. Eine whitelist sollte so spät wie möglich gestartet werden;
> eine blacklist so früh wie möglich
>
> Ich werde es aber versuchen in einem Pakt zu bündeln, wäre aber dankbar,
> wenn ihr mir bei der Doku helft indem ihr bei den Test bei komischen
> Verhalten mir die Gründe dafür zukommen lasst.
>

Ok, ich bin startbereit :-)

>
>> Ggf. sogar mit der
>> Erweiterung bestimmte Adressbereiche manuell hinzu fügen zu können.
>> Falls das noch nicht geht. Ich kenne das Paket nicht, wusste ja nicht
>> mal das es existiert.
> Diese Möglichkeit gibt es beim aktuellen BCN (block_complete_Network)
> schon. Das neue Pakete müsste aber einen neuen Namen haben.
>
> Vorschläge?

Warum neuen Namen?  Möchtest Du das (alte) BCN weiterhin laufen 
lassen?   Vielleicht erstmal zur Unterscheidung bei der ganzen 
Testerei"extendedBCN", aber später vielleicht wieder BCN. Denn wer will, 
kann es ja genau so weiterhin laufen lassen, per blacklist-Option.

>> Vielleicht ist es ja auch nonsens. Ich denke nur das man evtl. nicht
>> unbedingt sicher sein kann das ein Adressbereich auch länderspezifisch
>> korrekt ist. Vielleicht bei Dialup-IPs oder um nur ein Internes Netzwerk
>> zu selektieren... Da wäre das dann praktisch, meine ich.
> Genau, siehe oben. Es ist also mit Vorsicht zu genießen.

Gibts vielleicht etwas genaueres bzw. aktuelleres als die GeoIP-Listen?

> Danke für die Rückmeldungen.
>
> Lieben Gruß
>
> Olaf
>

Gruß
Dirk