Firewall Geoblocking verlässlich?

Status
Für weitere Antworten geschlossen.

Sipforever

Benutzer
Registriert
11. Sep. 2016
Beiträge
115
Reaktionspunkte
0
Punkte
22
Hallöchen
heute wurde trotz Geoblocking der Vereinten Russischen Föderation.
Die IP-Adresse 95.70.87.131 hatte 3 Fehlversuche beim Versuch, sich bei DSM innerhalb von 1 Minuten anzumelden, und wurde um Fri Sep 28 22:43:02 2018 blockiert.

Ist das Geoblocking tätsächlich hilfreich? Weshalb ist es trotzdem möglich?


Mit den besten Wünschen für ein schönes Wochenende!
Sipforever
 
Selbe IP hat es heute bei mir versucht. Das ist mein erster Login Versuch von einer fremden IP seit Beginn an (ca. 3 Jahre)
Mich würde interessieren, wie der Login vonstatten ging?! DynDNS, öffentliche IP?

Er hat es mit unterschiedlichen Usern probiert. Einmal als Admin und einmal als System? Was ist System für ein Eintrag bzw User?

PS
Wenn deine Firewall richtig konfiguriert ist, erscheint kein Eintrag von einer gesperrten Geo IP, da erst gar keine Verbindung zustande kommt und somit auch kein login Versuch möglich ist. Ich denke du hast einen Fehler in der Firewall.
 
Zuletzt bearbeitet:
Hey vielen Dank!
Habe zwar alles angehakt..siehe Foto..04BED473-DD41-4438-B2D2-27C5243AEFD0.jpg
 
Deine erste Regel besagt, alle IP's zulassen. Diese Regel tritt ein, alle anderen werden ignoriert. Das ist der Fehler! Die Regeln werden nacheinander abgearbeitet. Tritt eine in Kraft, sind die anderen nicht anwendbar.
Zuerst würde ich alle Regeln unter "Alle Schnittstellen" entfernen und alles auf LAN1(wenn das deine aktuell genutzte Schnittstelle ist) legen.
Dann ist die weitere Vorgehensweise:

1. Alles aus dem lokalen Netz zulassen (entweder über einzelne IP's oder Subnetze)
2. Alles aus BRD zulassen
3. Weitere, einzelne Länder aufführen die erlaubt sind
4. Alle Quell IP's sperren

Ich beschäftige mich erst seit ein paar Stunden mit dem Thema Geo IP, aber das wäre jetzt mein erster Test.
Wie es sich mit Ports verhält weiß ich noch nicht. Weil eigentlich müsste ein erfolgreicher Portaufruf, gesetzt an oberster Stelle, die untere Regel "Alle Quell IP's" blocken, ausser Kraft setzen. Somit würde die Ländersperre nicht greifen.
Dann wiederrum gäbe es nur die Möglichkeit, entweder gezielter Geo Block oder gezielter Port Block.

Vielleicht schaltet sich noch jemand mit mehr Erfahrung ein! ;)
 
Ist "genau so" wie c0smo sagt: Die Regeln werden von oben nach unten abgearbeitet, was zuerst zieht wird genutzt, alles darunter wird ignoriert. Kurzum: Bei Dir ist einfach ALLES erlaubt (noch schlimmer geht es quasi nicht, es zieht immer nur die erste Regel, alles andere wird ignoriert).

Was ein korrektes Setup angeht... ist eigentlich ganz einfach, befolge einfach nachfolgendes Prinzip (3 Grundbausteine) :

1) Anti-Lockout-Rule -> Alles vom eigenen LAN erlauben (damit Du Dich nicht aussperrst)
2) div. "erlaubte" Sachen -> z.B. bestimmten Port/Anwendung von Deutschland aus erlauben, etc.
3) Clean-Up-Rule -> Alles andere verbieten

Country-Blocking macht auch nur in bestimmten Konstellationen Sinn. In oben stehendem Beispiel sind sowieso keinerlei andere Länder als Deutschland erlaubt. Ein etwas anderes Beispiel wäre z.B. folgendes:

1) Anti-Lockout
2) Verbiete Russland den Zugriff auf Port 5001
3) Erlaube allen anderen den Zugriff auf Port 5001
4) Verbiete alles andere

Grundsätzlich gilt: Entweder gibst Du etwas "nur" für "bestimmte" Länder frei, oder Du gibst generell etwas für "alle" Länder frei und sperrst nur "bestimmte" Länder aus. Letzteres ist aber meist mit erhöhtem Aufwand verknüpft, womit die Erlaubnis für bestimmte Länder zu bevorzugen wäre (danach die Clean-Up-Rule, die sowieso alles andere verbietet). :)
 
Dein 3. Punkt entfällt doch eigentlich, wenn man unter "LAN1" konfiguriert. Hier wird doch automatisch verweigert (Wenn keine Regel zutrifft, automatisch verweigern)?
 
Mag sein, sorry, das ist einfach so eine "Grundsätzlichkeit" und völlig unabhängig von der Syno. "So" wirds gemacht und "nicht" anders. Ganz generell. Spielt also keine Rolle, ob Syno, Raspi, sonstwas an Firewall, das "Konzept" ist "immer" das gleiche, also ein Allround-Konzept wenn Du so willst :o Wenn es da so Knöpfe gibt, erst die Lockout-Rule anlegen, dann den Button auf "alles verbieten was nicht erlaubt ist" und dann noch div. gewünschte Regeln unter der Anti-Lock-Out-Rule erstellen :)

EDIT: Damit man es in Zukunft immer richtig macht und sich das auch "vernünftig" einprägt, würde ich die letzte Regel trotzdem immer mitnehmen.
 
Aber auch immer daran denken, das GeoIP nicht als Allheilmittel gegen Angriffe gesperrter Länder anzusehen ist. Es gibt ja auch diverse und vor allem einfache Möglichkeiten, sich eine deutsche IP zuzulegen um so sein Unwesen zu treiben, Daher auf jeden Fall nur die nötigsten Ports freigeben und diese bestenfalls auf hohe fünfstellige Werte setzen. Selbstredend sollten noch starke Passwörter und https Verbindungen erwähnt werden, auch wenn das nicht die Frage des TE war.

Tommes
 
Vielleicht sollten wir mal so eine Floskel-Rubrik einführen, hier mein Vorschlag: "Soviel wie nötig, so wenig wie möglich" :o
 
Besser wäre wohl, das hiesige Wiki mal wieder auf Vordermann zu bringen und solche grundlegenden Konfigurationen mal zusammenzufassen. Dann bräuchte man garnicht mehr viel zu schreiben, sondern nur noch einen Link posten.

Ich hatte mal eine Anleitung zur Firewall bzw. GeoIP hier im Forum unter der Rubrik „Anleitungen“ gestellt, nur gibt es diese Rubrik scheinbar nicht mehr... ich find sie jedenfalls nicht mehr.
 
GeoIP-Blocking und Let's Encrypt

Wenn man GeoIP-Blocking verwendet und die Zertifikate von Let's Encrypt nutzen möchte, muss man die USA freischalten, damit die Kommunikation mit dem Zertifikatsserver erfolgen kann. Dabei -wie immer- auf die richtige Reihenfolge der Firewallregeln achten!
Gruß
Nanur
 
Das stimmt aber nicht. Bei mir ist nur Deutschland, Schweiz und Österreich frei und bekomme trotzdem neue Zertifikate.
 
Unsere Statische IP bei Hetzner (Nürnberg) wird seit Ende letzten Jahres von vielen Diensten als Ukraine ausgewiesen.
Geziehlte IP-Positionsabfragen zeigen zwar weiterhin mitten auf Deutschland, aber z.B. von utrace.de wird als Provider nun "D2 International Investment Ukraine Ltd." genannt.

Das betrifft nicht nur Synology, sondern auch Google und Co. geben daher plötzlich die Werbung in russischem Kauderwelsch und Preise in UAH aus, wenn man über diesen Server ins Netz geht.
(bei Youtube, Google und anderen Suchdiensten war es zuerst aufgefallen, daher ging die Ursachensuche zuerst in Richtung unserer russischsprachigen Mitglieder, also dass sich deren Sprachsettings im Windows-Server irgendwie verteilt hatten)

Wir haben zwar viele Hackingversuche aus der rusischen Richtung, aber die Ukraine ist da zum Glück nicht dabei, so dass sich da die Firewall gut anpassen ließ, für die Verbindung zwischen NAS im Büro und dem großen Server.
 
Zuletzt bearbeitet:
Das stimmt aber nicht. Bei mir ist nur Deutschland, Schweiz und Österreich frei und bekomme trotzdem neue Zertifikate.

Das ist ja interessant, diese Länder waren bei mir auch freigeschaltet, aber die Erneuerung klappte erst als ich die USA dazugenommen hab.
Let's Encrypt sitzt m.W. in San Francisco, hat aber den Webserver in Boston. Vermutlich betreiben sie mehrere Zertifikatsserver.
Gruß
Nanuk
 
Zuletzt bearbeitet:
Nur mal so am Rande: Grundsätzlich werden in der Firewall im Regelwerk Erlaubnisse erteilt, keine Verbote. Das gilt auch für die Länder. Man erlaubt die Länder die man zulassen möchte.
Mit der allerletzten Regel verbietet man dann alles, was nicht bis dahin explizit erlaubt wurde.
Dieser Kuddelmuddel mit gemischten erlaubt und verboten bereitet nur Probleme!
 
Hi, hat einer eine Serverliste von let's Encrypt welche die Zertifikate prüfen? Wenn FW, dann aber auch nicht USA erlauben nur wegen LE :p
 
die aktuellen Server sind auf der Letsencryprt Seite einsehbar.
@cosmo: Wenn du LE erneuern kannst und hast im Geoblocking die USA drin ist das ein 100% Zeichen dafür, dass deine Regeln nicht stimmen!
 
Hallo,
na ja, acme-v01.api.letsencrypt.org steht zB in Frankfurt.

Gruß Götz
 
die aktuellen Server sind auf der Letsencryprt Seite einsehbar.
@cosmo: Wenn du LE erneuern kannst und hast im Geoblocking die USA drin ist das ein 100% Zeichen dafür, dass deine Regeln nicht stimmen!

habe ich nix gefunde, nur die aussagen in Foren, die IP's sind nicht veröffentlicht... warum auch immer, eigentlich schlecht. Warum so eine Geheimsisskrämerei?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat