[Eisfair] Block_Complete_Networks mit Geoip

Dirk Alberti Howy-1 at gmx.de
Fr Jul 28 06:57:01 CEST 2017


Moin Olaf,

Am 27.07.2017 um 21:56 schrieb Olaf Jaehrling:
> Hallo Dirk,
>
> Dirk Alberti schrieb am 27.07.2017 um 19:06:
>> Hallo zusammen,
>>
>> ich nutze schon seit längerem das BCN-Paket und mache mittels
>> "Remote-Blocking" schon am Fli4l-Router dicht.
>>
>> Jetzt habe ich aber etwas gefunden von einem GeoIP-Modul für iptables. (1)
>> Würde das vielleicht die Arbeit des BCN-Paketes etwas vereinfachen und
>> man könnte schneller große IP-Bereiche blocken?
> Jupp, das würde die ganze Sache vereinfachen. Dazu müsste aber iptables
> bzw der Kernel neu kompiliert werden.
>

ok, und das müsste dann wohl jeweils bei Eisfair und Fli4l unabhängig 
voneinander passieren.

> Danach wäre es ja einfach (in deinem Fall vermutlich als whitelist)
> ==================== Whitelist ======================================
> Allow ssh for own country(DE) and the country where you take holidays(FR)
>
> iptables -A INPUT -p tcp --dport 22 -m geoip --src-cc DE,FR -j ACCEPT
> iptables -A INPUT -p tcp --dport 22 -j DROP

Ob das dann trotzdem die Mobil-Internetprovider mit abdecken würde? Da 
gabs doch immer Probleme mit deren IP-Ranges quer durch den Gemüsegarten...


> ==================== Blacklist ======================================
> Block access to FTP server for Papua New Guinea (PG)
>
> iptables -A INPUT -p tcp --dport 21 -m geoip --src-cc PG -j DROP
> iptables -A INPUT -p tcp --dport 21 -j ACCEPT
> =====================================================================

Das wäre ein riesiger Unterschied gegenüber den tausenden von 
iptables-Einträgen, wenn man mehrere Länder blocken möchte.

> Gruß
>
> Olaf
>
>

Grüße

Dirk


Mehr Informationen über die Mailingliste Eisfair