Geo IP Sperre richtig konfigurieren. Alles außer Deutschland sperren, aber wie?

[Riven]

Hallo!
Ich möchte zur Sicherheit in der Firewall der DS nur deutsche IPs zulassen, besser noch nur aus meine Region bzw Bundesland, falls das geht?
Ich verstehe, das Menü aber nicht ganz: Man kann pro Regel maximal fünf Länder ein oder ausschließen. Bedeutet das, dass ich mit mehreren Regeln alle Länder außer Deutschland sperren muss oder kann man das mit einer einzigen Regel bewerkstelligen? Im Moment habe ich nur eine Regel und die lässt Deutschland explizit zu, was das aber für die übrigen Länder bedeutet, ist mir nicht klar.
Danke und viel Grüße
Riven

 

[Hafer]

Region, bzw. Bundesland geht meines Wissens nicht.

Für DEU sieht das bei mir wie folgt aus:



Beachte die Einstellung am Fuße des Dialogs: "If no rules are matched: Deny access"
Die erste Regel lässt alles lokale (192.168.*.*) durch und die zweite Regel alles mit Geo-ip DEU.
Achtung: Am Beispiel im Bild sind alle Ports zugelassen. Das solltest du einschränken. Entweder an der DS, oder - wie ich es mache - am Router.

 

[Riven]

Genau, aber diese Fusszeile ist bei mir nicht mehr da und das verwirrt mich.

 

[Hafer]

Oben rechts bei "Alle Schnittstellen" klicken, dann kommen die LAN Anschlüsse. Ich habe bei "alle Schnittstellen" keine Regeln hinterlegt.

 

[Riven]

upsa, das wusste ich nicht. Danke!

 

[Flanders]

Ähm,

wenn ich die Regelkette richtig lese, erreicht man damit aber nicht den gewünschten Erfolg!
Nach meinem Verständnis von Linux-Firewall-Regelketten werdendie Firewall-Regeln von oben nach unten gelesen.

D.h. die Regel die zuerst Trifft, die gilt, nachfolgende werden ignoriert!
Daher besagt o.g. Regelwerk

1. Wenn eine Verbindung aus Deutschland kommt, darf sie ALLES (alle Ports, alle IPs) !!
2. Kommt sie NICHT aus Deutschland, dann darf sie NUR, wenn die freigegebenen Ports betroffen sind!
3. trifft keine der o.g. Regeln, dann verweigere!

Also mit der Kette ist m.E. NUR eine Sperre für andere Länder möglich, wenn ich alle anderen -außer Deutschland- sperre und diese Regeln nach ganz oben setze.
Damit fliegt jeder, der aus einem anderen Land als Deutschland kommt raus. Kommt er aus Deutschland, trifft die Regel nicht und dann wird weiter geprüft, ob er auf einen erlaubten Port geht...


Thema ist schon alt, aber ich finde es wichtig, das klarzustellen!
Bitte korrigiert mich, falls ich falsch liege.

Greets

Flanders

 

[NSFH]

Das hast du richtig interpretiert. Diese Reihung von Regelungen wird immer von oben nach unten abgearbeitet. So wie die Fw konfiguriert ist lässt sie alles aus Deutschland durch!
Die erste Regel muss also raus und alle folgenden Regeln, sofern sie Protokolle betreffen, die von Aussen genutzt werden, müssen einzeln auf D begrenzt werden.
Alles was im LAN läuft würde ich dann auf die eigene IP-Range eingrenzen.