IP Adressen aus China und RU sperren

https://think.unblog.ch/en/geoip-firewall-configuration-on-debian-and-ubuntu/

Quote from Ganzjahresgriller

Funktioniert leider nicht. Scheitert schon am Start.

Code

Paket iptables-dev ist nicht verfügbar, wird aber von einem anderen Paket
referenziert. Das kann heißen, dass das Paket fehlt, dass es abgelöst
wurde oder nur aus einer anderen Quelle verfügbar ist.
Doch die folgenden Pakete ersetzen es:
  libxtables-dev libip6tc-dev libip4tc-dev

Immer auch die Kommentare unter einem Artikel lesen, da findet sich bisweilen die Lösung. In diesem Fall wird ja selbst in der Fehlermeldung auf die Alternative verwiesen!

Quote from Debian: Paket: libxtables-dev

Das Rahmenwerk iptables/xtables wurde durch nftables ersetzt. Sie sollten jetzt die Migration in Betracht ziehen.

Hallo,

sorry - ich war etwas im Stress, daher nur der Link ohne Info.

Also das über´s Routing abzubilden wäre Wahnsinn.

geo-ip Filter ist die richtige Wahl für diese Anforderung.

Grundlegend solltest du dich aber mal mit iptables auseinandersetzen. Das solltest du so oder so auf deinem Server aktiv haben, ansonst bist du ja komplett ungeschützt im Netz. Ich würde das auch alles über CLI machen, die Befehle sind nicht sooo schwer.

Ich würde dir folgendes Vorgehen empfehlen - iptables installieren und mal damit "spielen" (oft wird auch ufw verwendet, das ist um einiges einfacher für einfache Anforderungen - in dem Fall würde das aber eher für Verwirrung sorgen, wie ich meine. UFW platziert im Endeffekt auch nur die Chains im IPTABLES). Wichtig ist bei dem Thema halt IMMER, das du einen Zugriff auf das Webinterface hast, und damit auf den Server kannst - falls du dich selbst aussperren solltest - und die IPTABLES Conig neu laden möchtest. Und, das wirst du
Auch wichtig ist herauszufinden, wie du mit den Configs von IPTABLES umgehst - wenn du da was änderst und nicht "persistent" machst ist die Änderung beim restart des Servers oder des Prozesses wieder weg. Aber auch dazu gibt es einige Anleitungen, Hinweise bzw. Wege.

Dann kannst du im Endeffekt GEOIP Filter nach Anleitung installieren, dann ist das mal aktiv. Da musst du dir halt dann auch überlegen, was du blockst (oder zulässt - du könntest im ersten Schritt mal nur "DACH" - also Ö/DE/CH zulassen, dann hast mal alles Andere ausgesperrt. Weiß ja nicht, was dein Server hostet - aber so Dinge probiert man so oder so auf einem Testserver mal aus.

So kannst du zB. DACH freischalten, musst aber danach alles blocken:

iptables -A [CHAIN] -m geoip --src-cc AT,CH,DE -j ACCEPT

oder so dropst du direkt einige Länder, basierend auf der IP <--> Länder Tabelle, die du ja als .csv wie beschrieben auf deine Server bereitstellst:

iptables -A [CHAIN] -m geoip --src-cc RU -j DROP
iptables -A [CHAIN] -m geoip --src-cc CN -j DROP

Dann würde ich aber auf jeden Fall fail2ban installieren - das ist auch relativ einfach und parst dir im Endeffekt aus den Logfiles (kannst dann einstellen, was du brauchst - im Endeffekt primär mal das SSH Logfile) die failed Logins raus.

Wenn da zB. jemand 3x in 10min das falsche Passwort via ssh eingibt wird er für 3 Stunden geblockt (die Werte kannst du dir aussuchen).

Das klappt dann auch für alle anderen Dienste/Logfiles - je nach dem, was halt im Internet erreichbar und dementsprechend angreifbar ist.

Auf Basis dessen kannst du dann auch deine GEOIP Filter anpassen, Fail2Ban schickt dir zb. ein Mail als Info:

Hi,

The IP x.x.100.10 has just been banned by Fail2Ban after
3 attempts against sshd.

Da kannst dann mit dem Befehl "geoiplookup" auf deinem Server checken, der sagt dir dann, das das zb. aus FR kommt...

Es gibt zu jedem der Themen genügend sehr gute Anleitungen im Netz. Schau mal, was du da findest. Sonst einfach hier fragen...

gruß uwe