IP-Range sperren?

[wolfda]

Hallo an alle,

gibt es eine Möglichkeit einen kompletten IP-Raum zu sperren
bzw. eine oder mehrere IP-Räume in die "Automatische Blockierung"
einzutragen?

Gruß

 

[rauppe31]

Die Frage kam wie aus meinem Mund gesprochen
Auch ich suche eine Möglichkeit, IP Adressen bei der Automatischen Blockierung einzutragen.

So könnte man eine Liste mit geblockten IPs zusammentragen, und diese dann bei sich auch sperren.

 

[crick]

Ich glaube nicht, dass es aus DSM heraus geht. Aber mit iptables auf jeden Fall.

http://www.data-travelers.de/2010/05/17/ip-adressen-ip-bereiche-sperren-via-iptables.html

 

[jahlives]

iptables -A INPUT -s IP_ZUM_SPERREN -j DROP

@rauppe
meinst du sowas? http://tobisworld.homeip.net/ip2mysql-client.php Geht aber leider nicht mit Bordmitteln

 

[wolfda]

Ich Depp sollte vorher einfach mal in die Wiki schauen.
Mit .htaccess sollte es doch auch gehen oder?
http://www.synology-wiki.de/index.php/3rd_Party_Applications_absichern

 

[rauppe31]

iptables -A INPUT -s IP_ZUM_SPERREN -j DROP

@rauppe
meinst du sowas? http://tobisworld.homeip.net/ip2mysql-client.php Geht aber leider nicht mit Bordmitteln

Sind das die IPs, die gesperrt wurden, oder die, die auf irgendeine Seite zugegriffen haben?

Ich dachte eher an eine Liste mit IPs, die von der automatischen Blockierung geblockt wurden.

Z.B. Mein Nachbar hat bei seiner DS 110j ca. 150 IPs, die in der Liste der Blockierten IPs stehen. Ich habe nur 15.

Die Frage ist: Wie kann ich diese 150 IPs auch bei mir eintragen? Natürlich nicht jede einzeln.
Es müsste dooch ein File geben, wo die IPs drinnstehen.

 

[jahlives]

aber auch nicht automatisch, sondern nur indem du die geblockten IPs manuell in der htaccess nachführst. Es gibt afaik ein autoblock-Binary. Man müsste mal gucken ob man mit einem der möglichen Parameter die aktuell gesperrten IPs ausgeben könnte. Diese Ausgabe könnte man mittels eines regelmässigen cronjobs ermitteln und die IP via Script in iptables eintragen

 

[wolfda]

... und hier noch ein guter Artikel zum Thema http://www.synology-wiki.de/index.php/DSM_Zugriff_auf_IP-Ebene_beschränken

 

[jahlives]

Sind das die IPs, die gesperrt wurden, oder die, die auf irgendeine Seite zugegriffen haben?

das sind IPs/Ports von IPs die bereits in mindestens 2 Stufen automatisch gesperrt wurden und trotzdem noch Zugriffe versuchen. In eineer ersten Stufe habe ich bei mir fail2ban am Laufen. Dessen Job ist es User bei Verstössen für 10min zu sperren. Dann habe ich in einer zweiten Stufe ein Script, das die Logs von fail2ban auswertet und nach wiederkehrenden IPs sucht. Bei einem bestimmten Count pro IP schreibt mein Script diese IPs dann in eine eigene iptables-Chain. IPs dort drin sind solange gesperrt bis ich sie manuell lösche. In einer weiteren chain schreibe ich die IPs nochmals rein, diesmal aber mit dem "Befehl" IP und Port an ein externes Script zu schicken. Dieses Script schreibt die Daten dann in die DB. Ich schreibe also längst nicht jeden Versuch in die DB, sondern man muss sich schon etwas anstrengen um dort drin zu landen

 

[wolfda]

Übrigens gibt es hier eine nette Website wenn man vor hat ein ganzes Land auszusperren http://www.countryipblocks.net/ (siehe rechts)

 

[jahlives]

ich würde so was trotzdem eher via Firewall als via die Anwendung machen. htaccess wäre Anwendung (Apache Webserver). Du würdest zudem diese IPs nur für den DSM resp das Verzeichnis mit der htacess sperren. Diese IPs wären also z.B. für smtp oder imap oder nur schon andere Webseiten auf der DS nicht gesperrt. Sowas solltest du immer auf Firewallebene machen und nicht auf Ebene der Endanwendung

 

[wolfda]

Okay, war bloß so eine Idee weil ich keinen Zugriff auf Router und Firewall habe.

 

[jahlives]

die DS hat doch ne eigene Firewall. die kannst du dafür nutzen

 

[wolfda]

Die nutz ich ja auch schon aber man kann ja keine IP-Adressräume eintragen.

 

[jahlives]

Die nutz ich ja auch schon aber man kann ja keine IP-Adressräume eintragen.

kann sein, dass es im DSM ned geht. In der Firewall auf der Konsole geht das schon z.B.

iptables -A INPUT -s 192.168.0.0/16 -j DROP

verwirft das gesamte 192.168-er private Subnet. Das einzige was per default ned geht ist es eine Range mit Anfang und Ende anzugeben. Ranges als Subnetze sind aber, zumindest direkt auf der Konsole, durchaus möglich

 

[rauppe31]

Gibt es eigentlich einen Befehl, wie man Das gesamte Verzeichnis auf der DS inkl. Dateiinhalt durchsuchen kann?

 

[jahlives]

grep ist dein Freund

 

[wolfda]

Wäre trotzdem irgendwie komfortabler wenn Synology die Firewall um einen Punkt erweitern würde
so das man ganze Adressräume direkt aussperren kann.

 

[jahlives]

ganze Adressräume sollte man eher nicht einfach so sperren. Das kann auch bös ins Auge gehen. Ich würde immer erst empfehlen einen whois der IP zu machen und sich an den zuständigen Provider zu wenden und ihn auffordern etwas zu unternehmen. Erst wenn das nicht klappt und der Provider auf stur stellt bzw wenn es etliche verschiedene IPs aus seinen Subs sind, sollte man überlegen den gesamten Raum des Providers zu sperren. Wenn es nur wenige IPs eines Providers sind würde ich empfehlen die erstmal nur einzeln zu sperren und nicht gleich das ganze Sub.
Wenn man das Feature im DSM hätte dann gäbe vielleicht mal einen unbedarften User, der AnfangsIP 0.0.0.0 und EndIP 255.255.255.255 einträgt und sich dann wundert weil einfach gar nichts mehr geht ;-) du darfst nicht vergessen, dass du auf der DS keine lokale Konsole hast und immer via Netzwerk zugreifst.

 

[dkonly]

Das ist ein leidiges Thema für mich auch. Seit langer Zeit suche nach einem Linux-Tool, der auch auf einer DS fuktionieren würde. Sowas:
http://www.peerblock.com/
Da kann man nicht nur bestimmte Bereiche, sondern auch IP-Adressen von bestimmten Ländern sperren
http://www.iblocklist.com/lists.php
http://list.iblocklist.com/?list=de
Es gibt auch eine Variante für Debian, aber ich weiss es nicht, ob das ganze zusammen mit DSM funktionieren kann
http://forums.peerblock.com/read.php?5,11501,11501#msg-11501