Kompletts Land via Firewall sperren

    Hallo,


    kurz und knapp:


    Ich kann mir zwar nicht vorstellen wie, doch ist es möglich, komplette Regionen wie zB. die Türkei über die Firewall auszugrenzen?
    Bekomme massig "Müll" von denen



    MfG

    Zitat von ubuntu;28942

    deny from *.land


    Dafür muss allerdings die DNS Auflösung für IP's beim Apache aktiviert sein, was auch diverse Nachteile haben kann. Und da viele dieser "nervenden" IP's oft keinen rDNS Eintrag oder einen mit einer anderen Endung haben, bringt es wenig bis gar nichts ;)


    Timoo: Für welche Dienste willst du diese IP's denn aussperren?
    Über die VCP Firewall kannst du IP-Ranges leider nicht aussperren.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    .htaccess fällt weg.


    Am besten für alle aber primär für den 80er Port.


    Edit: Zu den Subnetzen muss ich da jetz das rechnen anfangen oder gibt es da irgendwo ne Hilfe zu?^^

    Wieso sollte man eigentlich ne 24 Bits Subnetz sperren oder komme ich da jetzt durcheinander mit den Lannetzen?
    Wie muss das dann, wenn es geht, in der Fw eingetragen werden?

    Zitat von killerbees19;28943

    Über die VCP Firewall kannst du IP-Ranges leider nicht aussperren.


    Bei mir klappt das wunderbar. Einfach mit Subnetz hinten dran eintragen, z.B. 78.46.0.0/15.


    edit: Wieviele Regeln verträgt die Firewall eigentlich, bis diese spürbar langsamer wird? Gibt es da ein Limit? ;)

    "Security is like an onion - the more you dig in the more you want to cry"

    Das mit geoip wäre meine nächste Vorkehrung, nachdem ich den Server neu aufgesetzt habe.
    Anbei, ist das problemlos in den laufenden Betrieb implementierbar oder kann es zu Problemen führen?


    Mit der Subnetz werd ich mal probieren danke

    Geo-IP ist doch nur ein Apache-Modul, zumindest den Apache musst du reloaden oder eventuell restarten. 20% klingt für mich aber nicht so echt wirksam. Für mich als Zusatzlösung zu irgendwas gerne, aber wenn dann muss die Lösung die Zugriffe auf 20% reduzieren.

    "Security is like an onion - the more you dig in the more you want to cry"

    Also habe jetzt 78.189.188.55/8 als zu "droppende" Ip eingegeben, scheint aber immernoch Zugriff zu bestehen.


    Suche bereits einen Proxy um es selber zu testen - leichter gesagt als getan:D

    Zitat von vmk;28953

    Bei mir klappt das wunderbar. Einfach mit Subnetz hinten dran eintragen, z.B. 78.46.0.0/15.


    Echt? Dann habe ich das scheinbar zu lange nicht mehr getestet :)


    Zitat von vmk;28953

    Wieviele Regeln verträgt die Firewall eigentlich, bis diese spürbar langsamer wird? Gibt es da ein Limit? ;)


    Vor einigen Wochen war nach ein paar Dutzend bzw. 100-200 Schluss. Danach gab es ein nettes Update vom Oli und selbst so viele liefen wieder problemlos. Kannst es ja einmal mit noch mehr ausprobieren, ich hatte dann keine Lust mehr :p



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Zitat von vmk;28966

    Ich bin mir nicht ganz sicher, aber lief DROP nicht genauso gut wie ANY? (welches gar nicht lief)


    Wieso sollten DROP Regeln nicht funktionieren? Bitte ein Beispiel nennen. Ich setze just gerade selbst einige DROP Regeln für einen Test an einem regulären vServer ein, diese funktionieren problemlos.