Hallo zusammen.
Da bei mir ständig Leute aus China und Südamerika anklopfen, habe ich mir mal Gedanken gemacht was ich dagegen noch tun kann.
Der Server für den ich das mache ist ein reiner OpenVPN-Server den ich als zentralen Knoten nutze um in alle meine Netze zu kommen. Daher beschränken sich alle Verbindungen auf Europa. Das könnte auch für andere Einsatzzwecke interessant sein.
Also dachte ich mir sperre ich alles aus, was nicht aus Europa kommt.
Da die RIPE zuständig ist für die Vergabe von IP-Adressbereichen in Europa, dem Nahen Osten und Zentralasien kann man damit schon einiges abhandeln.
Da die iana eine entsprechende Liste zur Verfügung stellt hier ein kleiner Shell Befehl um entsprechende Netze direkt per IPTables zu droppen.
Das ganze lässt sich auch in eine Firewall Script einbinden, oder sonstwie verarbeiten.
Die Adressen für Multicast und lokale Adressen schliesse ich aus.
Wer noch Verbesserungen oder andere Anmerkungen hat, immer her damit.
Edit:
Da es bei neueren iptables Versionen zu Problem mit den führenden Nullen im Netz gab, habe ich den Befehl angepasst um die Nullen zu entfernen. Wer das Problem hat, nutzt einfach diesen Befehl.
Da bei mir ständig Leute aus China und Südamerika anklopfen, habe ich mir mal Gedanken gemacht was ich dagegen noch tun kann.
Der Server für den ich das mache ist ein reiner OpenVPN-Server den ich als zentralen Knoten nutze um in alle meine Netze zu kommen. Daher beschränken sich alle Verbindungen auf Europa. Das könnte auch für andere Einsatzzwecke interessant sein.
Also dachte ich mir sperre ich alles aus, was nicht aus Europa kommt.
Da die RIPE zuständig ist für die Vergabe von IP-Adressbereichen in Europa, dem Nahen Osten und Zentralasien kann man damit schon einiges abhandeln.
Sie müssen registriert sein, um Links zu sehen.
eine bildliche Darstellung.Da die iana eine entsprechende Liste zur Verfügung stellt hier ein kleiner Shell Befehl um entsprechende Netze direkt per IPTables zu droppen.
Code:
for i in `curl www.iana.org/assignments/ipv4-address-space/ipv4-address-space.csv | grep -vE "(ripe|Future|Multicast|Prefix|10/8|172|192|000|127|128)" | cut -d, -f1`; do iptables -A INPUT -s $i -j DROP; doneDas ganze lässt sich auch in eine Firewall Script einbinden, oder sonstwie verarbeiten.
Die Adressen für Multicast und lokale Adressen schliesse ich aus.
Wer noch Verbesserungen oder andere Anmerkungen hat, immer her damit.
Edit:
Da es bei neueren iptables Versionen zu Problem mit den führenden Nullen im Netz gab, habe ich den Befehl angepasst um die Nullen zu entfernen. Wer das Problem hat, nutzt einfach diesen Befehl.
Code:
for i in `curl www.iana.org/assignments/ipv4-address-space/ipv4-address-space.csv | grep -vE "(ripe|Future|Multicast|Prefix|10/8|172|192|000|127|128)" | cut -d, -f1 | sed -e 's/^0*//' `; do iptables -A INPUT -s $i -j DROP; done
Zuletzt bearbeitet: