Názory k článku Blokování provozu podle zemí s firewallem a ipset

pfSense je podstatně jiný druh firewallu (prosím, žádný flame) než iptables.Nebylo by asi na škodu se tady pfSense věnovat více. Je to sice Unix (BSD), ale rozhodně by uživatelé iptables mohli vidět, že to jde i jinak.

No když už se někdo zajímal o naše servery, tak to bylo silou řádově gigabity a protože to ucpalo linku, tak bylo už vcelku jedno co si server odfiltruje, protože regulérní provoz se k němu nedostal.

Já jsem blokaci paketu ve FW na úrovni regionu moc nepochopil. Tak vyloučím třeba 100 milionů potenciálních útočníků a zůstane mi 6,9 miliardy. Kde v tom je smysl? Buď ta služba odolá útokům odevšad a nějaké Rusko ji nemůže rozhodit nebo by neměla být veřejná.

Nejde o to, jestli odola, nebo neodola.... ja proste nechci, aby mi obecne Rusaci lezli na server....
Pro ten ucel ipset staci.

Rusaky tvuj server napropsto neazajima, ale nekdo, kdo se bude nahodou chtit z ruska, kde je na dovoleny/sluzeb­ce/.... neco precist, si nic neprecte.

Chápu že můžeš mít takovou potřebu a nic proti tomu nemám, ale pokud se máme držet v objektivní rovině, tak tohle nemůže nic jiného než osobní pocity vyřešit. Naopak to může být zdrojem nepříjemných problémů.

Pro blokování přímo různých typů útoků se mně líbí tyto blacklisty: https://www.blocklist.de/en/export.html
Člověk pak nemusí nutně blokovat celý státy.

aha, zajimave ze po otestovani hned nekolika IP adres jsem z fail2ban logu vidim, ze ani jedna v tomto seznamu nefiguruje. pritom se dosti vehementne pokousi dostat na server - coz asi nebude pratelska osoba nebo subjekt ;)

Pro blokovani konkretnich zemi ma iptables modul geoip.

Presne tak. ipset je dobrej na zpracovani velkyho poctu adres, nicmene na cely zeme uz je geoip, cimz tenhle clanek tak trochu postrada smysl. Nicmene ipset by sel podobnym zpusobem pouzit treba na p2p blocklisty ala PeerBlock a na spoustu dalsich veci.

Oblibenej u torrentaru je treba blocklist bt_level1, dostupnej ke stazeni v ruznejch formatech

https://www.iblocklist.com/list?list=ydxerpxkpcfqjaybcssw
http://list.iblocklist.com/?list=bt_level1&fileformat=p2p&archiveformat=gz

Zdravím. Mám OpenWRT, je možno tam dát ipset, tak se v tom hrabu. Stačí mi, aby byla moje IP dostupná z CZ a pár portů ze všech zemí. Jak nastavit FW, dělal už to někdo?

Mam taky OpenWRT na TL-WR842ND v2 a taky jsem o tom uvazoval.
U své konfigurace (FW, Samba share NTFS disku, MiniDLNA, FTP, DNS, DHCP, Transmission) mám ale strach že už to nebude výkonnostně a paměťově stačit. Už tak se mi občas kousne DNS.
ipset a geoip tam evidentně jsou, tak na lepším HW by to snad mohl fungovat dobře.
Už mám koupeny novy TL-WR842N v3, tak až bude na něj stabilní OpenWRT firmware, tak určitě vyzkouším.

Možná jsem to vyřešil (haluzově). Global policy INPUT jsem nechal na REJECT. A do jednotlivých port forwardů jsem přidal argument "-m set --match-set cz src"
Zatím jsem to zběžně otestoval přes TOR a mobilní připojení. Vypadá to, že jsou porty otevřené pouze pro IP z toho listu :)

Mělo by to být v pořádku.
Globální REJECT a '-A INPUT -i eth0 -m set --match-set cz src -j ACCEPT' by mělo být vše co potřebuješ.

Ja by som zakázal prístup najprv z NSA labs a potom by som riešil prístup z Činy a z Ruska.

+1. Blokování podle zemí je šmejďárna. Pochopitelné je to jako dočasné řešení u akutních problémů, ale to je asi vše.

Cim dal vic jsou poskytovatele nakupovat IPv4 adresy mimo Evropu, protoze zde uz narozdil treba od Afriky uz nejsou k dispozici.
Jako lajk se tedy ptam, pokud mi provozovatelem bude pridelena takova IP adresa, tak mam jako smulu a obsah vazany na "ceske" IP si neprectu? Nebo jak se tohle resi?

1) Prosí se u poskytovatele služby, aby dal do seznamu výjimku.
2) Leze se tam přes proxy v Čechách.

Davnejsie som riesil nieco taketo, otazku ako ziskavat ip rozsahy patriace nejakej krajine, pravidelne, automatizovane a bez platenia nejakej sluzbe. Vysledok tu http://blog.erben.sk/2014/01/28/generating-country-ip-ranges-lists/