Current time: 11-16-2024, 12:00 PM Hello There, Guest! (LoginRegister)


Post Reply 
Länder sperren
Author Message
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #1
Länder sperren
Ich möchte gerne bestimmte unerwünschte Länder aussperren, von denen ständig Angriffe erfolgen, unötige Load, Traffic und Arbeit verursachen.
Ich habe dabei keine moralischen Bedenken, da für diese länder die gesperrt werden sollen auch keine Services angeboten werden.
Habe dazu eine Seite gefunden die fertige Sheets anbietet die in eine .htaccess eingebunden werden können.
Link

Ist es möglich anstatt einzelner .htaccess auch das ganze für alle v-hosts z.B. in die http.conf einzubinden und wie müsste das dann aussehen?

Code:
deny from 58.
deny from 59.
01-06-2008 08:28 PM
Find all posts by this user Quote this message in a reply
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #2
RE: Länder sperren
Hi Ralph

ich vermute mal, wenn du das ausserhalb eines <VirtualHost> einbindest, sollte es für alle klappen. Habs aber nicht getestet. Könnte so aussehen:
Code:
<Directory />
Order allow,deny
deny from 58.
deny from 59.
</Directory>

sowas in der Art... als 00_fremdblocker.conf in /etc/apache2/sites-enabled speichern :-)

Gruss J
01-06-2008 08:49 PM
Visit this user's website Find all posts by this user Quote this message in a reply
rbtux Offline
Moderator
*****
Moderators

Posts: 1,847
Joined: Feb 2007
Reputation: 33
Post: #3
RE: Länder sperren
wieso machst du das nicht auf kernel ebene mit iptables??

iptables -A INPUT -s 59.0.0.0/8 -j DROP

oder so...
01-06-2008 08:56 PM
Visit this user's website Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #4
RE: Länder sperren
Hi joximu,

werde es mal so versuchen ...
SSH ist ganz gut abgesichert und damit habe ich momentan keine Probleme mehr.
Dafür habe ich in meinen modsecurity2 logs am Tag ungefähr 300 Versuche Rootkits über PHP zu installieren ...
Manche Scripts sind ewig lange und verursachen beim blocken extremen Load.
Dann auch jede menge UserAgents und Spambots - wird immer heftiger Wink

joximu Wrote:Hi Ralph

ich vermute mal, wenn du das ausserhalb eines <VirtualHost> einbindest, sollte es für alle klappen. Habs aber nicht getestet. Könnte so aussehen:
Code:
<Directory />
Order allow,deny
deny from 58.
deny from 59.
</Directory>

sowas in der Art... als 00_fremdblocker.conf in /etc/apache2/sites-enabled speichern :-)

Gruss J
(This post was last modified: 01-06-2008 09:00 PM by fulltilt.)
01-06-2008 08:59 PM
Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #5
RE: Länder sperren
rbtux Wrote:wieso machst du das nicht auf kernel ebene mit iptables??

iptables -A INPUT -s 59.0.0.0/8 -j DROP

oder so...

Ist auch eine Möglichkeit ...
Was wäre effektiver?

Werde erst mal mit dem apache testen wg. dem handling ...
01-06-2008 09:04 PM
Find all posts by this user Quote this message in a reply
rbtux Offline
Moderator
*****
Moderators

Posts: 1,847
Joined: Feb 2007
Reputation: 33
Post: #6
RE: Länder sperren
tja über kernel hättest du auch keine connects auf postfix etc... das heisst weniger spam...
01-06-2008 09:08 PM
Visit this user's website Find all posts by this user Quote this message in a reply
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #7
RE: Länder sperren
Wirklich effektiver wäre natürlich die Methode mit iptables - da kommt Apache gar nicht erst ins Spiel, es wird einfach jeglicher Netzwerkverkehr aus diesen Bereichen abgelehnt.

Du hast wohl keine Kunden-Websites... :-)

/J
01-06-2008 09:09 PM
Visit this user's website Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #8
RE: Länder sperren
Brasilien, China, Ukraine ...

Die ballern eine Kiste so zu, das ich ständig eingreifen muss und nicht mehr zum arbeiten komme.
Wenn darunter auch die Performance und die Sicherheit von Kundenwebs leidet, entscheide ich mich für das abblocken.
Ist ja nicht erst seit ein paar Tagen, das geht jetzt über Jahre so ...


joximu Wrote:Wirklich effektiver wäre natürlich die Methode mit iptables - da kommt Apache gar nicht erst ins Spiel, es wird einfach jeglicher Netzwerkverkehr aus diesen Bereichen abgelehnt.

Du hast wohl keine Kunden-Websites... :-)

/J
01-06-2008 09:23 PM
Find all posts by this user Quote this message in a reply
joximu Offline
helper
*****
Moderators

Posts: 7,024
Joined: Jan 2007
Reputation: 92
Post: #9
RE: Länder sperren
Offtopic:
Ich hab halt ein Kunde, der öfters mal auch in China ist... blocken liegt da nicht drin, da er auch während den anderen Zeiten mit den Leuten dort kommunizieren muss...

Es ist halt zweischneidig. Ich denke, wenn man fail2ban so einrichten könnte, dass die IPs mit Angriffsanfragen geblockt werden...
Das sollte möglich sein...???

Gruss J
01-07-2008 01:03 AM
Visit this user's website Find all posts by this user Quote this message in a reply
fulltilt Offline
Member
***

Posts: 1,225
Joined: Apr 2007
Reputation: 5
Post: #10
RE: Länder sperren
Hi joximu,

Habe fail2ban im Einsatz und auch modsecurity2 mit jeder Menge Rules von gotroot ... dann noch iptables mit synflood rules ...
Manchmal waren Attacken oder Spamerei so heftig das fail2ban einfach gecrashed ist.

Ich habe jetzt das gröbste mit IPtables geblockt:
Brasilien komplett
Russland und Ukraine teilweise
Korea, Hong Kong und China teilweise
(habe da eine gute Sammlung gefunden)
http://www.wizcrafts.net/chinese-blocklist.html

Ich habe vorher auch trotz Amavis und Spamfighting Howtos hier aus dem Forum noch ca. 100 Spammails am Tag die durchkamen.

Die iptables sind jetzt seit 3 Stunden aktiv und bislang kam keine einzige.

Ich denke das die Vorteile eher überwiegen und wenn ein Kunde dazwischen ist der Probleme hat, da kann ein IP Bereich wieder aufgemacht werden.

joximu Wrote:Offtopic:
Ich hab halt ein Kunde, der öfters mal auch in China ist... blocken liegt da nicht drin, da er auch während den anderen Zeiten mit den Leuten dort kommunizieren muss...

Es ist halt zweischneidig. Ich denke, wenn man fail2ban so einrichten könnte, dass die IPs mit Angriffsanfragen geblockt werden...
Das sollte möglich sein...???

Gruss J
01-07-2008 01:16 AM
Find all posts by this user Quote this message in a reply
Post Reply 


Forum Jump:


User(s) browsing this thread: 2 Guest(s)