Firewall Geoblocking verlässlich?

Sipforever

Benutzer
Mitglied seit
11. Sep 2016
Beiträge
110
Punkte für Reaktionen
0
Punkte
22
Hallöchen
heute wurde trotz Geoblocking der Vereinten Russischen Föderation.
Die IP-Adresse 95.70.87.131 hatte 3 Fehlversuche beim Versuch, sich bei DSM innerhalb von 1 Minuten anzumelden, und wurde um Fri Sep 28 22:43:02 2018 blockiert.

Ist das Geoblocking tätsächlich hilfreich? Weshalb ist es trotzdem möglich?


Mit den besten Wünschen für ein schönes Wochenende!
Sipforever
 

c0smo

Benutzer
Mitglied seit
08. Mai 2015
Beiträge
2.849
Punkte für Reaktionen
53
Punkte
94
Selbe IP hat es heute bei mir versucht. Das ist mein erster Login Versuch von einer fremden IP seit Beginn an (ca. 3 Jahre)
Mich würde interessieren, wie der Login vonstatten ging?! DynDNS, öffentliche IP?

Er hat es mit unterschiedlichen Usern probiert. Einmal als Admin und einmal als System? Was ist System für ein Eintrag bzw User?

PS
Wenn deine Firewall richtig konfiguriert ist, erscheint kein Eintrag von einer gesperrten Geo IP, da erst gar keine Verbindung zustande kommt und somit auch kein login Versuch möglich ist. Ich denke du hast einen Fehler in der Firewall.
 
Zuletzt bearbeitet:

Sipforever

Benutzer
Mitglied seit
11. Sep 2016
Beiträge
110
Punkte für Reaktionen
0
Punkte
22
Hey vielen Dank!
Habe zwar alles angehakt..siehe Foto.. 04BED473-DD41-4438-B2D2-27C5243AEFD0.jpg
 

c0smo

Benutzer
Mitglied seit
08. Mai 2015
Beiträge
2.849
Punkte für Reaktionen
53
Punkte
94
Deine erste Regel besagt, alle IP's zulassen. Diese Regel tritt ein, alle anderen werden ignoriert. Das ist der Fehler! Die Regeln werden nacheinander abgearbeitet. Tritt eine in Kraft, sind die anderen nicht anwendbar.
Zuerst würde ich alle Regeln unter "Alle Schnittstellen" entfernen und alles auf LAN1(wenn das deine aktuell genutzte Schnittstelle ist) legen.
Dann ist die weitere Vorgehensweise:

1. Alles aus dem lokalen Netz zulassen (entweder über einzelne IP's oder Subnetze)
2. Alles aus BRD zulassen
3. Weitere, einzelne Länder aufführen die erlaubt sind
4. Alle Quell IP's sperren

Ich beschäftige mich erst seit ein paar Stunden mit dem Thema Geo IP, aber das wäre jetzt mein erster Test.
Wie es sich mit Ports verhält weiß ich noch nicht. Weil eigentlich müsste ein erfolgreicher Portaufruf, gesetzt an oberster Stelle, die untere Regel "Alle Quell IP's" blocken, ausser Kraft setzen. Somit würde die Ländersperre nicht greifen.
Dann wiederrum gäbe es nur die Möglichkeit, entweder gezielter Geo Block oder gezielter Port Block.

Vielleicht schaltet sich noch jemand mit mehr Erfahrung ein! ;)
 

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
4.199
Punkte für Reaktionen
459
Punkte
163
Ist "genau so" wie c0smo sagt: Die Regeln werden von oben nach unten abgearbeitet, was zuerst zieht wird genutzt, alles darunter wird ignoriert. Kurzum: Bei Dir ist einfach ALLES erlaubt (noch schlimmer geht es quasi nicht, es zieht immer nur die erste Regel, alles andere wird ignoriert).

Was ein korrektes Setup angeht... ist eigentlich ganz einfach, befolge einfach nachfolgendes Prinzip (3 Grundbausteine) :

1) Anti-Lockout-Rule -> Alles vom eigenen LAN erlauben (damit Du Dich nicht aussperrst)
2) div. "erlaubte" Sachen -> z.B. bestimmten Port/Anwendung von Deutschland aus erlauben, etc.
3) Clean-Up-Rule -> Alles andere verbieten

Country-Blocking macht auch nur in bestimmten Konstellationen Sinn. In oben stehendem Beispiel sind sowieso keinerlei andere Länder als Deutschland erlaubt. Ein etwas anderes Beispiel wäre z.B. folgendes:

1) Anti-Lockout
2) Verbiete Russland den Zugriff auf Port 5001
3) Erlaube allen anderen den Zugriff auf Port 5001
4) Verbiete alles andere

Grundsätzlich gilt: Entweder gibst Du etwas "nur" für "bestimmte" Länder frei, oder Du gibst generell etwas für "alle" Länder frei und sperrst nur "bestimmte" Länder aus. Letzteres ist aber meist mit erhöhtem Aufwand verknüpft, womit die Erlaubnis für bestimmte Länder zu bevorzugen wäre (danach die Clean-Up-Rule, die sowieso alles andere verbietet). :)
 

c0smo

Benutzer
Mitglied seit
08. Mai 2015
Beiträge
2.849
Punkte für Reaktionen
53
Punkte
94
Dein 3. Punkt entfällt doch eigentlich, wenn man unter "LAN1" konfiguriert. Hier wird doch automatisch verweigert (Wenn keine Regel zutrifft, automatisch verweigern)?
 

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
4.199
Punkte für Reaktionen
459
Punkte
163
Mag sein, sorry, das ist einfach so eine "Grundsätzlichkeit" und völlig unabhängig von der Syno. "So" wirds gemacht und "nicht" anders. Ganz generell. Spielt also keine Rolle, ob Syno, Raspi, sonstwas an Firewall, das "Konzept" ist "immer" das gleiche, also ein Allround-Konzept wenn Du so willst :eek: Wenn es da so Knöpfe gibt, erst die Lockout-Rule anlegen, dann den Button auf "alles verbieten was nicht erlaubt ist" und dann noch div. gewünschte Regeln unter der Anti-Lock-Out-Rule erstellen :)

EDIT: Damit man es in Zukunft immer richtig macht und sich das auch "vernünftig" einprägt, würde ich die letzte Regel trotzdem immer mitnehmen.
 

Tommes

Benutzer
Mitglied seit
26. Okt 2009
Beiträge
7.848
Punkte für Reaktionen
99
Punkte
194
Aber auch immer daran denken, das GeoIP nicht als Allheilmittel gegen Angriffe gesperrter Länder anzusehen ist. Es gibt ja auch diverse und vor allem einfache Möglichkeiten, sich eine deutsche IP zuzulegen um so sein Unwesen zu treiben, Daher auf jeden Fall nur die nötigsten Ports freigeben und diese bestenfalls auf hohe fünfstellige Werte setzen. Selbstredend sollten noch starke Passwörter und https Verbindungen erwähnt werden, auch wenn das nicht die Frage des TE war.

Tommes
 

blurrrr

Benutzer
Mitglied seit
23. Jan 2012
Beiträge
4.199
Punkte für Reaktionen
459
Punkte
163
Vielleicht sollten wir mal so eine Floskel-Rubrik einführen, hier mein Vorschlag: "Soviel wie nötig, so wenig wie möglich" :eek:
 

Tommes

Benutzer
Mitglied seit
26. Okt 2009
Beiträge
7.848
Punkte für Reaktionen
99
Punkte
194
Besser wäre wohl, das hiesige Wiki mal wieder auf Vordermann zu bringen und solche grundlegenden Konfigurationen mal zusammenzufassen. Dann bräuchte man garnicht mehr viel zu schreiben, sondern nur noch einen Link posten.

Ich hatte mal eine Anleitung zur Firewall bzw. GeoIP hier im Forum unter der Rubrik „Anleitungen“ gestellt, nur gibt es diese Rubrik scheinbar nicht mehr... ich find sie jedenfalls nicht mehr.
 

Nanuk

Benutzer
Mitglied seit
08. Mai 2014
Beiträge
84
Punkte für Reaktionen
0
Punkte
12
GeoIP-Blocking und Let's Encrypt

Wenn man GeoIP-Blocking verwendet und die Zertifikate von Let's Encrypt nutzen möchte, muss man die USA freischalten, damit die Kommunikation mit dem Zertifikatsserver erfolgen kann. Dabei -wie immer- auf die richtige Reihenfolge der Firewallregeln achten!
Gruß
Nanur
 

c0smo

Benutzer
Mitglied seit
08. Mai 2015
Beiträge
2.849
Punkte für Reaktionen
53
Punkte
94
Das stimmt aber nicht. Bei mir ist nur Deutschland, Schweiz und Österreich frei und bekomme trotzdem neue Zertifikate.
 

himitsu

Benutzer
Mitglied seit
22. Okt 2018
Beiträge
698
Punkte für Reaktionen
0
Punkte
0
Unsere Statische IP bei Hetzner (Nürnberg) wird seit Ende letzten Jahres von vielen Diensten als Ukraine ausgewiesen.
Geziehlte IP-Positionsabfragen zeigen zwar weiterhin mitten auf Deutschland, aber z.B. von utrace.de wird als Provider nun "D2 International Investment Ukraine Ltd." genannt.

Das betrifft nicht nur Synology, sondern auch Google und Co. geben daher plötzlich die Werbung in russischem Kauderwelsch und Preise in UAH aus, wenn man über diesen Server ins Netz geht.
(bei Youtube, Google und anderen Suchdiensten war es zuerst aufgefallen, daher ging die Ursachensuche zuerst in Richtung unserer russischsprachigen Mitglieder, also dass sich deren Sprachsettings im Windows-Server irgendwie verteilt hatten)

Wir haben zwar viele Hackingversuche aus der rusischen Richtung, aber die Ukraine ist da zum Glück nicht dabei, so dass sich da die Firewall gut anpassen ließ, für die Verbindung zwischen NAS im Büro und dem großen Server.
 
Zuletzt bearbeitet:

Nanuk

Benutzer
Mitglied seit
08. Mai 2014
Beiträge
84
Punkte für Reaktionen
0
Punkte
12
Das stimmt aber nicht. Bei mir ist nur Deutschland, Schweiz und Österreich frei und bekomme trotzdem neue Zertifikate.

Das ist ja interessant, diese Länder waren bei mir auch freigeschaltet, aber die Erneuerung klappte erst als ich die USA dazugenommen hab.
Let's Encrypt sitzt m.W. in San Francisco, hat aber den Webserver in Boston. Vermutlich betreiben sie mehrere Zertifikatsserver.
Gruß
Nanuk
 
Zuletzt bearbeitet:

NSFH

Benutzer
Mitglied seit
09. Nov 2016
Beiträge
3.128
Punkte für Reaktionen
134
Punkte
129
Nur mal so am Rande: Grundsätzlich werden in der Firewall im Regelwerk Erlaubnisse erteilt, keine Verbote. Das gilt auch für die Länder. Man erlaubt die Länder die man zulassen möchte.
Mit der allerletzten Regel verbietet man dann alles, was nicht bis dahin explizit erlaubt wurde.
Dieser Kuddelmuddel mit gemischten erlaubt und verboten bereitet nur Probleme!
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
490
Punkte für Reaktionen
4
Punkte
18
Hi, hat einer eine Serverliste von let's Encrypt welche die Zertifikate prüfen? Wenn FW, dann aber auch nicht USA erlauben nur wegen LE :p
 

NSFH

Benutzer
Mitglied seit
09. Nov 2016
Beiträge
3.128
Punkte für Reaktionen
134
Punkte
129
die aktuellen Server sind auf der Letsencryprt Seite einsehbar.
@cosmo: Wenn du LE erneuern kannst und hast im Geoblocking die USA drin ist das ein 100% Zeichen dafür, dass deine Regeln nicht stimmen!
 

c0smo

Benutzer
Mitglied seit
08. Mai 2015
Beiträge
2.849
Punkte für Reaktionen
53
Punkte
94

goetz

Super-Moderator
Teammitglied
Mitglied seit
18. Mrz 2009
Beiträge
13.531
Punkte für Reaktionen
10
Punkte
328
Hallo,
na ja, acme-v01.api.letsencrypt.org steht zB in Frankfurt.

Gruß Götz
 

linuxdep

Benutzer
Mitglied seit
02. Jan 2009
Beiträge
490
Punkte für Reaktionen
4
Punkte
18
die aktuellen Server sind auf der Letsencryprt Seite einsehbar.
@cosmo: Wenn du LE erneuern kannst und hast im Geoblocking die USA drin ist das ein 100% Zeichen dafür, dass deine Regeln nicht stimmen!

habe ich nix gefunde, nur die aussagen in Foren, die IP's sind nicht veröffentlicht... warum auch immer, eigentlich schlecht. Warum so eine Geheimsisskrämerei?
 
  AdBlocker gefunden!

Du bist nicht hier, um Support für Adblocker zu erhalten, denn dein Adblocker funktioniert bereits ;-)

Klar machen Adblocker einen guten Job, aber sie blockieren auch nützliche Funktionen.

Das Forum wird mit einem hohen technischen, zeitlichen und finanziellen Aufwand kostenfrei zur Verfügung gestellt. Wir zeigen keine offensive oder Themen fremde Werbung. Bitte unterstütze dieses Forum, in dem du deinen Adblocker für diese Seite deaktivierst.