IPTables für GeoBlocking einrichten

Hinweis: In dem Thema IPTables für GeoBlocking einrichten gibt es 9 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • Hallo alle zusammen,


    leider häufen sich die Angriffe auf meinen TeamSpeak-Server, sodass ich nun dazu übergehen möchte einfach einige Länder via IPTables zu blocken.


    Unglücklicherweise stellt sich das -auch trotz Webmin- nicht ganz so einfach dar wie ich das gerne hätte. Es mangelt schlicht an Tutorials für den Serverbetrieb unter Suse (in meinem Fall 13.1).


    Als quelle für die IP-Ranges würde mir die folgende Liste dienen:
    Index of /ipblocks/data/countries


    Die Frage ist nun: Wie richte ich einen solchen "Block" ein?
    Es muss nix umständliches sein. Vielmehr möchte ich einfach diverse Länder ganz aussperren. Nicht auf einen speziellen Port bezogen, sondern einfach nur: "Du kommst aus XYZ? Geh weg." Für die ganze Kiste. Die Konsequenzen sind mir klar, wer halt aus den betreffenden Ländern kommt hat eben gelitten :)


    Es wäre in diesem Zusammenhang auch sehr freundlich, wenn Ihr mir auch verraten würdet, wie ich eine IPTable-Rule wieder löschen kann. Nicht das ich auf einmal wen (zum Beispiel mich selbst) aus versehen aussperre, den ich gar nicht aussperren wollte.


    Für eure HIlfe wäre ich euch dankbar.


    LG
    Dogus

    Für den Inhalt des Beitrages 99218 haftet ausdrücklich der jeweilige Autor: Dogus

  • Man hat als Linuxer auch keinen Teamspeak- Server.
    Da hat gefälligst ein Mumble- Server zu laufen.


    Und mit kaum Wissen in der Firewall rumfuhrwerken, bewirkt das genau Gegenteil: Die Kiste ist danach unsicher.
    Willst du das wirklich händisch lösen, dann hättest du in der Manpage nachgelesen, was zu tun ist.


    Meine Empfehlung: Lösch Teamspeak
    und lang nicht an die Firewall hin.
    Es gibt dafür ufw UncomplicatedFireWall .

  • ohne selbst weiter ins Detail gehen zu können, möchte ich mit etwas ergänzen, was ich vor Kurzem gesehen/gelesen habe. Es ist für einen Hacker überhaupt kein Problem sein Land zu tarnen, bzw. einfach als anderes Land auszugeben.
    Insofern heißt das für mich, dass diese Art von Schutz nur oberflächlich funktioniert.

    Für den Inhalt des Beitrages 99221 haftet ausdrücklich der jeweilige Autor: JeyF123

  • Berichtigung: Nach diesem überaus "qualifiziertem" Beitrag wundert es mich das Du mir nicht empfohlen hast auf einen Windows-Server umzusteigen ...

    Für den Inhalt des Beitrages 99222 haftet ausdrücklich der jeweilige Autor: Dogus

  • Berichtigung: Nach diesem überaus "qualifiziertem" Beitrag wundert es mich das Du mir nicht empfohlen hast auf einen Windows-Server umzusteigen ...

    Gelesen?

    Meine Empfehlung: Lösch Teamspeak
    und lang nicht an die Firewall hin.
    Es gibt dafür ufw UncomplicatedFireWall .


    Und recht hat er.
    Wer keine Ahnung von iptables hat, lässt besser die Finger davon.

    Für den Inhalt des Beitrages 99223 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Inzwischen habe ich die Konfiguration unter Zuhilfenahme diverser Bücher aus meinem Schrank vorgenommen. Und bevor nun die Frage auftaucht wieso ich das nicht gleich gemacht habe: Ich wollte mir die Stunde Arbeit ersparen mich einzulesen, wenn es jemanden gibt der es im Kopf hat.

    Und recht hat er.
    Wer keine Ahnung von iptables hat, lässt besser die Finger davon.

    Nein, nicht wirklich. Auf Grundlage dieser Argumentation könnte niemand Autofahren, eine Herz-OP durchführen oder einen OKI-Netzwerk-Drucker zum laufen bringen. Aber ich vermute mal das ihr alle geboren wurdet und sofort einen Linux-Server administrieren konntet.


    Wieso sich jetzt wegen sechs Kommandozeilen-Befehlen alle als Oberlehrer aufspielen müssen wird mir wohl ein Rätsel bleiben.


    Danke für ... naja nichts eben.

    Für den Inhalt des Beitrages 99224 haftet ausdrücklich der jeweilige Autor: Dogus

  • Und damit sind wir wieder mitten in der Endlosdebatte.


    Sicherheit erreicht man nicht dadurch, dass man irgendetwas sicher und kunstvoll konfiguriert.
    Sicherheit ist kein Zustand, sondern ein immerwährender Prozess!!


    Selbstverständlich hat JeyF123 recht - für einen Hacker ist das lächerlich.


    Will man einen Server sicher betreiben, so ist das Minimum für den Server:

    • Serverkonfiguration
      Man sollte apparmor oder SEL (SecurityEnhancedLinux) beherrschen und für alle Dienste und User wohl getestet konfigurieren. Dafür ist eine geraume Lernzeit einzuplanen.
    • Firewall ohne Lücken einrichten
      Wer selber iptables rules schreiben will, wird vorher nativ TCP/IP zu sprechen lernen müssen UND alle Dienste im Quellcode checken.
      Will man das nicht, so sollte man KEINESFALLS selbst Regeln erstellen. Die ufw (UncomplicatedFireWall) macht das besser, ohne Löcher aufzureißen.
    • Das Systemlog ist mit PerfectForwardSealing zu konfigurieren. Man lese dazu einiges bei Freedesktop über journald
    • Dienste, die irgendwelche Logins zulassen, sind mit fail2ban zu sichern.
    • Alle eingehenden Verbindungsversuche sind mit psad (PortScanAutomaticDetection) zu sichern.
    • KEINERLEI proprietäre Software
      Damit liefert man sich und seinen Server irgendwelchen Firmen aus.

    Täglich sind dann alle Logs zu durchforsten. Betreibt man einen Webserver ist eine WAF (WebApllicationFirewall) zwingend.
    Damit hätte man dann einen Server, der zumindest nach dem Stand der Kunst betrieben wird.
    Sicher ist er damit noch lange nicht.


    Es sind auch sämtliche Aktiviäten zu checken. Insbesondere die Scripts, die die User schreiben oder reinladen.
    Und alle -auf welchem Weg auch immer- auf dem Server landenden Dokumente oder Multimediadateien sind nach allen Regeln der Kunst zu scannen. Bedrohungen sind heute eher in bereits lokal vorhanden Dateien, denn von außen via Netzwerk.


    Man hat ständig die einschlägigen Mailinglisten der CSRs zu lesen, und sich weiterzubilden, um die dort auftauchenden Attacken zu verstehen, und deren Abwehr dann ggf. auf dem Server zu implementieren.


    Das ist nur ein grober Überblick.


    Meine Antwort ist also richtig:
    Lass die Finger von iptables!
    Nimm ufw!
    Lösche Teamspeak und installiere stattdessen Mumble!

  • "Danke für nichts" ist falsch.


    Du hast die beste Antwort erhalten.


    Und wenn du jetzt die Regeln selber würfelst, solltest du sie hier posten.
    Könnte dich vor groben Schnitzern bewahren.

  • Auf dieser Grundlage ...

    Zitat von Sauerland

    Und recht hat er.
    Wer keine Ahnung von iptables hat, lässt besser die Finger davon.



    Zitat von Dogus

    Nein, nicht wirklich. Auf Grundlage dieser Argumentation könnte niemand Autofahren, eine Herz-OP durchführen oder einen OKI-Netzwerk-Drucker zum laufen bringen. Aber ich vermute mal das ihr alle geboren wurdet und sofort einen Linux-Server administrieren konntet.

    ...sagst du doch aus, dass es nicht erforderlich ist etwas zu lernen. Ein Missverständnis? Absichtlich Fehlinterpretiert?


    Edit:
    Als Verweis könnte man dein Autofahren im Beispiel anführen: Sauerland: Wer keine Ahnung vom Autofahren hat, lässt besser die Finger davon (also der es nicht gelernt hat, keine Ahnung hat) > Deine Antwort: Auf Grundlage dieser Argumentation könnte niemand Autofahren (du willst dich ja nicht damit auseinandersetzen).. hm, eigentlich hast du doch recht, es lässt dich aber nicht gut dastehen.

    Für den Inhalt des Beitrages 99228 haftet ausdrücklich der jeweilige Autor: JeyF123

  • Serverbetrieb unter Suse (in meinem Fall 13.1).

    Nur einmal am Rande:
    Du solltest dich schon mit einem Upgrade beschäftigen........


    Ganzer Beitrag:
    Fragen zum Evergreen, wie lange und welche ist die nächste?
    Hier das entscheidende:
    Re: Fragen zum Evergreen, wie lange und welche ist die nächste? Next LTS
    Re: Fragen zum Evergreen, wie lange und welche ist die nächste? Next LTS

    Für den Inhalt des Beitrages 99236 haftet ausdrücklich der jeweilige Autor: Sauerland