DSM 6.x und darunter Geoblocking

[Tommes]

Ich hatte damals das Problem, das ich über T-Mobile nicht auf meine DS und auf meinem Raspberry Pi zugreifen konnte. Grund dafür war/ist, das T-Mobile über einen US-Server verbunden hat. Darüber konnte ich immer ziemlich zuverlässig meine GeoIP-Sperre testen. Hat mich aber auch ein paar Tage gekostet, bis ich gerafft hatte, das es an T-Mobile lag

Tommes

 

[rednag]

@Tommes,

ist ja auch ein starkes Stück sowas.
Fusion will bei mir nachsehen ob das GeoIP wirklich hält, was sie verspricht.

Gruß Rednag

 

[mördock]

Konnte vor einigen Wochen selber gut testen ob geoip funktioniert. Konnte permanent (1 Woche lang) aus Österreich per dsphoto+ auf meine ds zugreifen obwohl nur mein lokales Netz sowie ip Adressen aus Deutschland zugreifen dürfen.
@rednag: bin gespannt auf deine Erfahrungen.

 

[Fusion]

Bei @rednag haben wir mal draufgesehen. Das läuft. Außereuropäische IPs sind geblockt (speziell Niederlande und Kanada getestet).
Wenn die Regeln also woanders nicht greifen liegt es wohl sehr wahrscheinlich am Test-Setup, dass die Source-IPs etc. nicht jene sind die man vermutet.

 

[rednag]

Konnte permanent (1 Woche lang) aus Österreich per dsphoto+ auf meine ds zugreifen obwohl nur mein lokales Netz sowie ip Adressen aus Deutschland zugreifen dürfen.

Das hieße ja, daß Deine FW nicht geblockt hat oder verstehen ich das falsch?

 

[mördock]

Ja, so sieht es aus.
Die Einstellungen sind deinen sehr ähnlich..eigentlich hätte ich geblockt werden müssen.

 

[rednag]

Wenn hier die Regeln in der GUI nicht greifen, bringt es dann was manuell in dem Script zu ändern? Wohl auch nicht, denn die GUI macht ja nichts anderes oder?
War Deine IP in Östereich auch zugeordnet? Also war die speziell für die österreichischen ISPs? Es wäre interessant zu wissen, warum nicht geblockt wurde.

 

[mördock]

Keine Ahnung.Konnte über das Hotel wlan surfen und habe mich nur gewundert das der automatische fotoupload loslegte.

 

[Fusion]

@mördock - wenn du noch diesselben Firewall Einstellungen fährst kannst ja auch mal ein screenshot posten. Vielleicht läßt sich da was rauslesen.

 

[mördock]

Moin,

habe aktuell keine Zugriff auf die Fireall. Nehme einfach mal Rednags Bild und streiche überflüssige DInge. So siehts bei mir aus, bin mir zu 100% sicher, da ich gestern nochmal nachgeschaut und verglichen habe.

 

[madrix]

Hallo, ich will ja nicht rumnörgeln, aber es wäre schön, wenn ihr wieder mir helft



Mit diesen Enstellungen komme ich trotzdem mit einer kanadischen IP auf meine Webanwendung.

 

[mördock]

Vergleiche Deine erste Zeile mit der von rednag.Bei den Quell IP´s hast Du deine subnetmask mit eingebaut.

 

[madrix]

Wenn ich von der Subnetzmaske auf IP Range umstelle komme ich immernoch mit einer kanadischen IP auf meine Webanwendung.

 

[Fusion]

@mördock - und du bist sicher, dass der Photo-Upload auch erfolgreich war? Oder hat er es nur versucht, aufgrund der WLAN-Verbindung, ist aber letzen Endes dann gescheitert?
Eine VPN Verbindung zur Fritte hattest du nicht zufällig aktiv?

@madrix - du bist nicht vergessen, aber es hatte halt niemand eine weitere Idee. Um jetzt mal eine Anomalie im lokalen Netz auszuschließen, kannst du auch mal von einem Computer, der nicht in deinem LAN hängt per Hide.me nach Kanada gehen und dann nochmal den Zugriff probieren?
Eventuell "hilft" auch ein Neustart der DS mit den aktuellen Regeln.

 

[MaCoM]

Wenn ich von der Subnetzmaske auf IP Range umstelle komme ich immernoch mit einer kanadischen IP auf meine Webanwendung.

du meinst mit webanwendungen port 80 / 443 ?
ich glaube das das nicht von geoblocking abgedekt wird.

 

[madrix]

ich glaube das das nicht von geoblocking abgedekt wird.

Das vermute ich auch. Man könnte in der nginx .conf ein Geoblock einrichten, nur dazu bräuchte man IP Tables.

Wie man die auf die DS bekommt - kA.

 

[mördock]

definitiv keine VPN Verbindung. Und der Upload war erfolgreich, konnte auch meinen anderen Alben durchforsten und Bilder in die Telefongalerie speichern. Bin der Sache aber vor Ort nicht weiter auf den Grund gegangen (Urlaub, hatte besseres zu tun).

 

[Fusion]

@MaCoM

Glaube gehört in die Kirche (oder andere Gottes"häuser").

Wieso sollte eine Firewall / IP-Blocker, der ohne weitere Einstellung unabhängig vom Dienst (Port) tätig ist, nicht für Port 80/443 wirken?
Mal abgesehen davon, dass ich das gestern (weiter oben im Thread) ja nochmal explizit mit rednag an seiner DS verifiziert habe (und es auch bei anderen funktioniert).

@mördock - ja, werden wir jetzt wohl nicht mehr herausbekommen, welcher Anomalie du den Zugriff zu verdanken hattest.

 

[goetz]

Hallo,
geoblocking nutzt iptables und die Ports 80/443 sind selbstverständlich mit dabei bzw. gilt das für alle Ports.

Chain FORWARD_FIREWALL (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
RETURN     all  --  192.168.1.0/24       anywhere
RETURN     all  --  anywhere             anywhere             Source country: DE
DROP       all  --  anywhere             anywhere

Chain INPUT_FIREWALL (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
RETURN     all  --  192.168.1.0/24       anywhere
RETURN     all  --  anywhere             anywhere             Source country: DE
DROP       all  --  anywhere             anywhere

Das sind die Regeln für erlaube lokales Netz, erlaube Region Deutschland und blocke den Rest.

Gruß Götz

 

[Fusion]

@goetz - danke für die Ergänzung. Die Regelliste kann man sich mit "iptables -L" bzw "iptables --list" anzeigen lassen.