kostenloser Webspace werbefrei: lima-city


Ländersperre auf Firewall Ebene

lima-cityForumDie eigene HomepageSicherheit im Internet

  1. Autor dieses Themas

    computerkurs2011

    Kostenloser Webspace von computerkurs2011

    computerkurs2011 hat kostenlosen Webspace.

    Hallo liebes Lima-City Forum,

    Vorweg... Ich weiß das es hier schon ähnliche Themen gab, allerdings keins das sich auf Firewall Ebene bezog. Ich möchte gerne alle Länder bis auf Deutschland von meinem Server aussperren, da ich öfters beobachtet habe das Amerikaner, Engländer und Chinesen öfters auf meinen Seiten unterwegs sind als meine deutschen Besucher. Also ich will die Spy-Bots der anderen Länder wenigstens über eine Ländersperre etwas von meinem Server runterhalten.

    Zu meinem Server. Mein Server ist ein leistungsschwacher Pi und auf ihm läuft nginx mit dem Adminpanle AjentiV. Und dort möchte ich gerne auf Firewall Ebene in meinem Debian nur IP's aus dem deutschen Adressraum Zugriff gewähren. Würde das klappen und wenn ja wie kann ich das anstellen?

    Da ich mit Linux noch nicht ganz so dicke bin wäre eine "Anleitung" sehr hilfreich. Und für alle die keine Ahnung haben und jetzt mit .htaccess ankommen, nginx hat soetwas nicht. Und wäre es möglich nur diese Sperre für nginx geltend zu machen, da ich auch einen Mailserver auf dem Pi habe und wenn der nichts mehr von Gmail empfangen kann wäre das schlecht.


    Vielen Dank für eure Hilfe und Anregungen
    cpk2011
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. computerkurs2011 schrieb:
    Da ich mit Linux noch nicht ganz so dicke bin wäre eine "Anleitung" sehr hilfreich. Und für alle die keine Ahnung haben und jetzt mit .htaccess ankommen, nginx hat soetwas nicht. Und wäre es möglich nur diese Sperre für nginx geltend zu machen, da ich auch einen Mailserver auf dem Pi habe und wenn der nichts mehr von Gmail empfangen kann wäre das schlecht.

    Kommt doch etwas schräg, erst zu sagen, dass man noch nicht so drin ist und dann direkt beim nächsten Satz von "für alle, die keine Ahnung haben". Nginx hat keine .htaccess, richtig.
    Das sollte für dich aber als Server-Betreiber ziemlich egal sein. Auch nginx hat entsprechende Möglichkeiten an Board zur Zugriffsfilterung. Sogar genau für deinen gewünschten Fall.
    http://nginx.org/en/docs/http/ngx_http_geoip_module.html
    Damit könntest du entsprechend über eine map eine Variable entsprechend nach Land setzen und ggf. den Zugriff zu blocken.

    Wenn du es wirklich auf "Firewall"-Ebene regeln willst, gibt es auch für iptables auch ein GeoIP-Modul. https://open-admin.de/howto/laender-mittels-iptables-aussperren/

    Inwieweit das alles sinnvoll ist, sei mal dahin gestellt.
    Du sperrst hier auch "freundliche Bots" und richtige Besucher aus, die ggf. Proxy/VPN nutzen oder grade im Ausland unterwegs sind.
    Einen Server ins Netz zu lassen, wenn man "noch nicht ganz so dicke" mit ist: Darüber lässt sich nach Kenntnissstand eh diskutieren. ;)
    Stell dir immer die Frage: Wenn der Raspi bei dir im Heimnetz hängst: Bist du sicher, dass du einen Verseuchten da haben willst?

    Beitrag zuletzt geändert: 14.7.2015 2:18:42 von muellerlukas
  4. muellerlukas schrieb:
    Wenn der Raspi bei dir im Heimnetz hängst: Bist du sicher, dass du einen Verseuchten da haben willst?

    Ich konnte in seinem Beitrag nichts mit "Heimnetz" lesen. Es gibt auch Anbieter wie EDIS.at, die Pi's in ihr Rechenzentrum anschließen.

    muellerlukas schrieb:
    Auch nginx hat entsprechende Möglichkeiten an Board zur Zugriffsfilterung. Sogar genau für deinen gewünschten Fall.
    http://nginx.org/en/docs/http/ngx_http_geoip_module.html

    Dieses Modul erfordert aber eine Datenbank von MaxMind.

    Um die Frage zu beantworten: man kann nicht allein an der IP das Land bestimmen, ohne eine Datenbank mit IP's die z.B.: die Netzadressen von ISP eines Landes gespeichert haben, zu besitzen. Eine IP hat keine Stelle bzw. Adressraum für ein Land. Die Lösung von MaxMind dürfte somit die beste Lösung sein.

    Da es aber, wie schon bereits geschrieben wurde, Probleme mit Bots und Proxys geben könnte, würde ich eher zu einer anderen Lösung raten. Du könntest z.B.: einfach die Bots, die dir nicht passen aussperren und deinen Server mit Fail2Ban und den Abändern von Ports sowie anderen Maßnahmen sichern oder einfach CloudFlare nutzen.
  5. Eine entsprechende DB wirst du immer brauchen, die von MaxMind ist ebenfalls kostenfrei. Das sollte also auch kein Hinderungsgrund sein.

    Die IPs sind dazu - wie webfreclan - schon gesagt hat auch nicht länder- sondern Providerspezifisch. Auch mit DB, kriegst du keine 100% Sicherheit.
    Damals gab es da auch genug Probleme mit AOL z.B. die ihre IPs eben auch an Nutzern aus anderen Ländern verteilt hat.

    OT: Wenn er den Raspi direkt offen im Netz hängen lässt: Macht es das besser? ;)
  6. Autor dieses Themas

    computerkurs2011

    Kostenloser Webspace von computerkurs2011

    computerkurs2011 hat kostenlosen Webspace.

    Danke für die Anregungen. Ich habe mich jetzt einfach meine Regeln in Fail2Ban verschärft und auch bei Cloudflare, das ich bereits vorher hatte, die Regeln verschärft. Ich bekomme jetzt viel weniger Bot besuche auf meiner Seite. Die Ländersperre hat zwar geklappt, nur leider konnte ich dann keine E-Mails mehr von ausländischen Anbietern, wie bspw. Google, Yahoo!, ect. empfangen, so das ich diese wieder deaktivieren musste. Die Sperre direkt in nginx zu aktivieren hat zwar auch geklappt, allerdings ging dann CloudFlare nicht mehr :megarofl: ... also belasse ich es einfach bei den verschärften Regelungen für Fail2Ban und CloudFlare.

    Trotzdem danke für die Hilfen.
  7. Logisch, Cloudflare baut ja auch auf CDN auf. Wenns blöd läuft hast du von denen mal ne US, mal ne DE-IP. Da wirds mit Filterung schwierig.
    Man kann da natürlich auch die Header durchgucken, welche Cloudflare setzt, ...
  8. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!