Firewall - IP Bereich sperren

koweto · 29. März 2009

Hallo zusammen,

da es zu OpenVCP leider nur eine, mMn, sehr mangelhafte Dokumentation gibt und auf die Oberfläche aufgrund nicht vorhandener Hilfe oder Erklärungen alles andere als Benutzerfreundlich ist, frage ich mich, wie man IP Bereiche in der OpenVCP Firewall sperrt?
Geht das wie bei vielen Routern mit z.B. 111.111.*.*[highlight]-[/highlight]222.222.*.* (IP 111.111.0.0 bis 222.222.255.255) und als Port * als Wildcard?
Kann man außerdem mehrere Bereiche als kommaseparierte Liste in einer Regel definieren? z.B. 111.111.0.0-112.112.255.255[highlight],[/highlight]222.222.0.0-223.223.255.255

Besteht ferner irgendwie die Möglichkeit IP Bereiche von Ländern zu sperren? Ich bemerke sehr viele Versuche Spam über meinen vServer via SMTP zu verschicken, wobei die Anfrage ausnahmslos aus China und Taiwan kommen. Durchgekommen ist noch nichts, aber es nervt trotzdem. Manuell alle IP Bereiche von China zu sperren wäre ein Fulltime Job auf Wochen, da es laut GeoIP an die 1700 IP Bereiche gibt, die China zugeordnet sind.

Vielen Dank für Antworten.

Schönen Sonntag,
koweto

p.s. Wann wird endlich mal das Problem mit den Umlauten im OpenVCP gefixt? Es sieht unschön aus, wirkt unprofessionell und es nervt auf Hieroglyphen zu schauen.

koweto · 6. April 2009

Hallo,

leider scheint offenbar niemand zu wissen, wie man großere IP Bereiche sperren kann. Vielleicht geht es ja auch gar nicht und ich suche mich seit Tagen schon umsonst "wund".

Was scheinbar funktioniert sind Bereiche anhand der Subnetmaske zu sperren, etwa 60.198.0.0/15 für den Bereich von 60.198.0.0 bis 60.199.255.255
Würde ich aber z.B. alle zugeordneten IPs für Taiwan sperren wollen, weil von dort ständig Versuche kommen Spam zu versenden, spuckt mir GeoIP ca. 360 IP-Bereiche aus. Diese Bereiche anhand der Subnetmaske zu sperren würde die Anzahl zwar reduzieren, aber es wären immer noch schätzungsweise 200 Einträge in der Firewall nötig. Das würde die ganze Sache zum einen extrem unübersichtlich machen, zum anderen will kein Mensch den ganzen Tag damit verbringen die ganzen Einträge manuell hinzuzufügen.

Falls doch noch jemand einen Tipp hat würde ich mich (und andere Kunden eines Tages sicherlich auch, wenn sie die Antwort hier finden) sehr darüber freuen.

Beste Grüße,
koweto

KB19 · 6. April 2009

Du könntest vielleicht ein Script schreiben, dass die Einträge für dich vornimmt und z.B. auch übersichtlicher anzeigt. Also eine Art zweites - eigenes - Webinterface nur für die Firewall. Ein einfaches Script für neue Firewalleinträge hat hier schon einmal jemand gepostet (ich glaube Tux wars). Wie man die Bereiche sperren kann weiß ich leider auch nicht. Ich habe es bei mir bei den jeweiligen Programmen gelöst. Mein Apache wird z.B. einmal täglich mit einer Blacklist von IP (Bereichen) gefüttert, die aus verschiedenen privaten Blacklists kommen und mein Mailserver überprüft alle IP's mit den gängisten RBL's, dafür gibt es zahlreiche Erweiterungen für fast jeden Mailserver.

MfG Christian

koweto · 6. April 2009

Hallo Christian,

danke für den Tipp mit dem Script von tux.
Das werde ich heute abend mal testen und falls es wie gewünscht funktioniert, wäre das ja schon mal eine große Erleichterung beim Anlegen der Einträge. Danke auch an tux von dieser Stelle!

Viele Grüße,
koweto

[netcup] Alex W. · 6. April 2009

Wir werden die Firewalldokumentation dahingehend in unserem Wiki detailiert überarbeiten.