Wie kompletten IP-Bereich sperren

[henning]

Ich hab hier einen hartnäckigen Chinesen, der immer wieder versucht meine DS zu knacken
Whois meldet mir eine Uni in China, die hab ich bereits angeschrieben, scheint dort aber niemanden zu stören. Sobald die eingestellte Sperrzeit abläuft, versucht er es wieder und wird erneut geblockt. Jetzt habe ich die IP dauerhaft in die Blacklist geschrieben, möchte aber den gesamten IP-Bereich der Uni darin aufnehmen. Das sind xx.xx.32.0 - xx.xx.47.255 doch einige…*Gibt es da eine Möglichkeit oder muss ich erst eine Excel-Liste anlegen und dann importieren?

 

[rednag]

Du kannst entweder die komplette IP-Range sperren, oder aber Du machst es mit der Firewall per GeoIP-Blocking.
Hier gibt es natürlich auch Wege das zu umgehen, aber das wäre zusätzlicher Aufwand für die chinesische Uni.

 

[Steini]

Über die automatische Blockierung kannst du nur Einzel-Hosts eintragen oder eben eine Liste importieren. Hast du die Firewall aktiviert? Falls ja, trag’ doch dort die zu sperrenden IPs ein. Das geht entweder mittels Subnetzmaske (255.255.240.0) oder der Eingabe des gesamten IP-Bereichs.

 

[whitbread]

Die erste Frage wäre doch, welche Ports Du offen hast?

 

[henning]

@whitbread
ports 6690
21
111
892
2049
443
80
5006

Firewall nicht aktiv.
Es wird von externen Kunden auf die DS teilweise per FTP, teilweise per Browser zugegriffen. Photo-Station läuft auch noch… WebDAV brauche ich um die Daten von woanders aus direkt bearbeiten zu können.

 

[DMHas]

@ Henning: Auf jeden Fall die Firewall aktivieren und mittels Geoblocking China hinzufügen, das hilft schon einmal. Sofern der Kundenzugang nicht zu stark eingeschränkt wird, würde ich noch unter "Automatische Blockierung" die Option "Verfallen der Blockierung aktivieren" deaktivieren. Man müßte dann im Notfall Kunden IP's manuell aus der Liste der blockierten IP's löschen, aber Sicherheit sollte vorgehen. Weiterhin würde ich alle Ports außer Port 80 und 443 auf einen hohen vier- oder fünfstelligen Port "verlegen". Gerade Port 21 ist für viele zu verlockend.

Warte nicht auf eine Antwort der Uni. In China kümmert das niemand ....

 

[jahlives]

Man kann doch in det Firewall ein Netz in Cidr Schreibweise eintragen, oder irre ich mich da? Aus Anfangs und End IP der Uni kann man sich die cidr Netze berechnen und dann an die Firewall verfüttern. Das Linux Kommando ipcalc kann dabei helfen. Oft steht das Netz aber auch in den whois Informationen

 

[mexx81]

Ich schließe mich meinen Vorrednern an. Firewall aktivieren und ich ergänze um Reverse Proxy. Trenn Dich von so vielen WAN Ports wie es geht und setzte es mit dem Reverse Proxy um.

 

[whitbread]

Also bei der Liste würde ich auch über den Reverse-Proxy nachdenken.
Die Nutzung der IP-Blockierung ist ja sowieso Pflicht und ich vermute mal, dass Du mit Geoblocking auch ganz gut leben kannst (sofern Du keine Kunden aus China hast). Ich habe eine Whitelist fürs Geoblocking, da ich kein Bedarf habe, weltweit erreichbar zu sein. Man sollte sich jedoch bewusst sein, dass Geoblocking gegen die wirklich bösen Jungs keinen Schutz bietet.
IP-Bereiche manuell zu sperren würde sich dann erübrigen.

Ansonsten würde ich den FTP-Port einfach mal auf einen ungenutzen vier- oder fünfstelligen Port verlegen, sofern Deine Kunden das verstehen; damit wirst Du die Script-Kiddies schonmal los.

 

[henning]

Ok, China ist erst mal geblockt, ein paar Ostblock-Länder kommen noch dazu.
Wo kann ich was über den Reverse-Proxy lesen?

 

[Stewi]

Nur mal zu den Firewall Regeln und dem Geo-Blocking .... eigentlich geht man anders herum an die Sache ran. Statt einzelne Länder zu blockieren (es gehen iirc sowieso nur 15), erst einmal alles blocken und dann nur die Länder erlauben, die unbedingt auf das NAS zugreifen müssen. Tommes hat das mal hier (*klick*) sehr gut beschrieben. Und nie (!) vergessen den eigenen IP Bereich zu erlauben. ;-)

 

[rednag]

Würde ich auch so handhaben. Generell erstmal alles verbieten, bis auf das lokale Netz.
Dann gezielt nur die Dienste erlauben, die benötigt werden.
Und nicht vergessen: Die Regeln werden von oben nach unten abgearbeitet. Deswegen sollte die erste Regel eine Ausnahme für das lokale Netz sein.

Gruß Rednag

 

[stefaktiv]

Kann man alle ausländischen Regionen auch gleich im eigenen Router / in der Fritzbox blockieren lassen? Dann käme es gar nicht einmal bis zum NAS...

 

[blurrrr]

IP-Ranges sperren ist nicht unbedingt soooo sinnig... IPs werden nämlich auch "verkauft". Da wird dann aber registriert wer welches Netz usw. intus hat und wo die sitzen (-> Geo-Blocking). Letzteres dürfte also effektiver sein. Geht es um ein Land in welchem Du Dich aber mitunter auch mal aufhälst, wird es schon problematischer, aber auch da kann man schauen, wem das Netz gehört und ggf. auch ausschliessen.

Was den Reverse-Proxy angeht, so gibt es tonnenweise Anleitungen im Netz (einfach mal Google bemühen: synology reverse proxy ).

EDIT: Nein, Fritzbox kann sowas nicht.

 

[whitbread]

Eine Fritzbox ist kein Router!
Wenn man einen Router hat, der Geoblocking unterstützt, gehört das natürlich dort hin.

 

[stefaktiv]

Eine Fritzbox ist kein Router!

Nenn die Fritzbox ruhig eine Kartoffelsuppe... für mich bleibt es trotzdem ein Router und ich scheine damit nicht alleine zu sein:
https://www.techbook.de/easylife/fritzbox-avm-7490-7590-7390-geraeteuebersicht-kabel-dsl-wlan
("Router-Topmodell" etc.)

Die Frage war aber ja nicht: was ist eine Fritzbox, sondern ob eine Fritzbox nicht gleich schon eingehende Anfragen bestimmter Regionen von Haus aus abblocken kann. Dass das natürlich vielfältig umgangen werden kann ist klar. Offensichtlich macht sich aber nicht jeder die Mühe... die Tage hatte ich eine von der Synology Diskstation blockierten Einwahlversuch mit russischer IP. Würden die Russen nur irgendeinen Wert darauf legen die wahre Herkunft zu verschleiern, so würden sie ja über einen deutschen Proxy arbeiten. Zumindest diese dümmlichen Angriffe möchte ich so bald wie möglich im Netz abblocken. Die Fritzbox wäre dabei das erste Gerät... wie aber blurrr schon geschrieben hat, scheint die Fritzbox das nicht zu können.