Hallo,
kurz und knapp:
Ich kann mir zwar nicht vorstellen wie, doch ist es möglich, komplette Regionen wie zB. die Türkei über die Firewall auszugrenzen?
Bekomme massig "Müll" von denen
MfG
Hallo,
kurz und knapp:
Ich kann mir zwar nicht vorstellen wie, doch ist es möglich, komplette Regionen wie zB. die Türkei über die Firewall auszugrenzen?
Bekomme massig "Müll" von denen
MfG
deny from *.land
in .htaccess
Zitat von ubuntu;28942deny from *.land
Dafür muss allerdings die DNS Auflösung für IP's beim Apache aktiviert sein, was auch diverse Nachteile haben kann. Und da viele dieser "nervenden" IP's oft keinen rDNS Eintrag oder einen mit einer anderen Endung haben, bringt es wenig bis gar nichts
Timoo: Für welche Dienste willst du diese IP's denn aussperren?
Über die VCP Firewall kannst du IP-Ranges leider nicht aussperren.
MfG Christian
dann sperrst Du das Subnetz von den nervenden Provider
deny from 444.444.444.0/24 (Ich weiss, ungültige IP's)
.htaccess fällt weg.
Am besten für alle aber primär für den 80er Port.
Edit: Zu den Subnetzen muss ich da jetz das rechnen anfangen oder gibt es da irgendwo ne Hilfe zu?^^
kann man in der Firewall nicht ein /24 subnetz sperren?
Wieso sollte man eigentlich ne 24 Bits Subnetz sperren oder komme ich da jetzt durcheinander mit den Lannetzen?
Wie muss das dann, wenn es geht, in der Fw eingetragen werden?
444.444.444.0/24 = 444.444.444.*
Weiss nicht ob man das eintragen kann in die Firewall
Na das ist doof, aber der Ansatz klingt schonmal gut.
Vielleicht meldet sich ja hier auch noch ein Erfahrener in der Hinsicht zu Wort
LG
hi,
selbst noch nicht versucht.
aber schau es dir mal an, vllt läufts und ist das was du suchst.
Apache mit GeoIP Module
,tschau
Zitat von killerbees19;28943Über die VCP Firewall kannst du IP-Ranges leider nicht aussperren.
Bei mir klappt das wunderbar. Einfach mit Subnetz hinten dran eintragen, z.B. 78.46.0.0/15.
edit: Wieviele Regeln verträgt die Firewall eigentlich, bis diese spürbar langsamer wird? Gibt es da ein Limit?
Das mit geoip wäre meine nächste Vorkehrung, nachdem ich den Server neu aufgesetzt habe.
Anbei, ist das problemlos in den laufenden Betrieb implementierbar oder kann es zu Problemen führen?
Mit der Subnetz werd ich mal probieren danke
Zur Subnetmask nochmal:
Also ich habe jetzt hier eine 8Bit-Ip die ich via
http://www.trinler.net/de/service/tools/ipcalc.html
ausgerechnet habe.
Muss ich jetzt das Netzwerk also 78.0.0.0/8 oder die Ip 78.189.188.55[/8]
eingeben/aussperren?
Geo-IP ist doch nur ein Apache-Modul, zumindest den Apache musst du reloaden oder eventuell restarten. 20% klingt für mich aber nicht so echt wirksam. Für mich als Zusatzlösung zu irgendwas gerne, aber wenn dann muss die Lösung die Zugriffe auf 20% reduzieren.
Also habe jetzt 78.189.188.55/8 als zu "droppende" Ip eingegeben, scheint aber immernoch Zugriff zu bestehen.
Suche bereits einen Proxy um es selber zu testen - leichter gesagt als getan:D
Wieso machst du kein reject?
Ich bin mir nicht ganz sicher, aber lief DROP nicht genauso gut wie ANY? (welches gar nicht lief)
edit:
DROP läuft, siehe http://forum.netcup.de/showpost.php?p=28977&postcount=19
Zitat von vmk;28953Bei mir klappt das wunderbar. Einfach mit Subnetz hinten dran eintragen, z.B. 78.46.0.0/15.
Echt? Dann habe ich das scheinbar zu lange nicht mehr getestet
Zitat von vmk;28953Wieviele Regeln verträgt die Firewall eigentlich, bis diese spürbar langsamer wird? Gibt es da ein Limit?
Vor einigen Wochen war nach ein paar Dutzend bzw. 100-200 Schluss. Danach gab es ein nettes Update vom Oli und selbst so viele liefen wieder problemlos. Kannst es ja einmal mit noch mehr ausprobieren, ich hatte dann keine Lust mehr :p
MfG Christian
Reject?
hier meine Einstellung:
INPUT tcp 78.189.188.55/8 alle 188.40.245.xxx alle DROP STATE NEW,ESTABLISHED,RELATED
Zitat von vmk;28966Ich bin mir nicht ganz sicher, aber lief DROP nicht genauso gut wie ANY? (welches gar nicht lief)
Wieso sollten DROP Regeln nicht funktionieren? Bitte ein Beispiel nennen. Ich setze just gerade selbst einige DROP Regeln für einen Test an einem regulären vServer ein, diese funktionieren problemlos.
Ok, dann habe ich mich falsch erinnert.