[Eisfair] Netzwerkfilter "Europa" oder "Deutschland"? (bfb?)

[Olaf Jaehrling]

Hallo Dirk,


Dirk Alberti schrieb am 24.04.2017 um 22:05:
> Hallo Olaf,
>> GeoIP ist leider nicht
>> tages-, wochen- oder monatsaktuell.
> 
> Ok, das erklärt, warum trotz laufendem BCN der "Chinamann" immer mal
> wieder bis zu BFB vordringen kann, wo ihm dann engültig der Hahn
> zugedreht wird.

Jupp

> 
>> Ich sehe das immer bei einem meiner
>> Server. Dort ist nur DE erlaubt und regelmäßig kann ich mich nicht
>> einloggen wenn ich über Handy komme, weil das Netz lt. GeoIP (noch)
>> nicht in DE ist.
> 
> Vielleicht eine Hintertür einbauen? Ich hab zwar da nicht so die
> Kennung, aber vielleicht kann man da was mit dem eigenen DynDNS (oder
> anderen gleichartigen Diensten) bzw. deren IP-Ranges koppeln?

Wozu gibt es VPN :)

> 
>>
>> Ausserdem können bei einer whitliste andere Programme, welche iptables
>> verwenden die Liste aushebeln und demzufolge falsche Sicherheit
>> vorgaukeln.
> 
> Meinst Du da sowas wie Squid mit Transparent-Proxy, welcher die
> Umleitung per iptables bekommt?

Ja, oder das Routingpaket oder selbst geschriebene iptables-scripte,
welche später starten.

> 
>> Das alles in einen einzigen Paket mit entsprechender Doku ist recht
>> aufwändig. Eine whitelist sollte so spät wie möglich gestartet werden;
>> eine blacklist so früh wie möglich
>>
>> Ich werde es aber versuchen in einem Pakt zu bündeln, wäre aber dankbar,
>> wenn ihr mir bei der Doku helft indem ihr bei den Test bei komischen
>> Verhalten mir die Gründe dafür zukommen lasst.
>>
> 
> Ok, ich bin startbereit :-)

ok, ich komme darauf zurück :)

> 
>>
>>> Ggf. sogar mit der
>>> Erweiterung bestimmte Adressbereiche manuell hinzu fügen zu können.
>>> Falls das noch nicht geht. Ich kenne das Paket nicht, wusste ja nicht
>>> mal das es existiert.
>> Diese Möglichkeit gibt es beim aktuellen BCN (block_complete_Network)
>> schon. Das neue Pakete müsste aber einen neuen Namen haben.
>>
>> Vorschläge?
> 
> Warum neuen Namen? 

weil das alte Paket ja block_complete.... heißt. Eine whitelist gibt ja
frei.

> Möchtest Du das (alte) BCN weiterhin laufen
> lassen?   

Nein, das würde ich dann einstampfen.

> Vielleicht erstmal zur Unterscheidung bei der ganzen
> Testerei"extendedBCN", aber später vielleicht wieder BCN. Denn wer will,
> kann es ja genau so weiterhin laufen lassen, per blacklist-Option.

Nein, man muss sich entscheiden. Black- oder whitelist. Beides geht nicht.
> 
>>> Vielleicht ist es ja auch nonsens. Ich denke nur das man evtl. nicht
>>> unbedingt sicher sein kann das ein Adressbereich auch länderspezifisch
>>> korrekt ist. Vielleicht bei Dialup-IPs oder um nur ein Internes Netzwerk
>>> zu selektieren... Da wäre das dann praktisch, meine ich.
>> Genau, siehe oben. Es ist also mit Vorsicht zu genießen.
> 
> Gibts vielleicht etwas genaueres bzw. aktuelleres als die GeoIP-Listen?

Nicht da ich wüßte. Woher sollen die auch wissen, wo die großen Provider
die IP's hinrouten. So genau weüß ich allerdings auch nicht, wie das
funktioniert.
> 


Gruß

Olaf