IP-Range sperren?

Status
Für weitere Antworten geschlossen.

wolfda

Benutzer
Mitglied seit
14. Feb 2012
Beiträge
120
Punkte für Reaktionen
0
Punkte
0
Hallo an alle,

gibt es eine Möglichkeit einen kompletten IP-Raum zu sperren
bzw. eine oder mehrere IP-Räume in die "Automatische Blockierung"
einzutragen?

Gruß
 

rauppe31

Benutzer
Mitglied seit
06. Jun 2011
Beiträge
2.734
Punkte für Reaktionen
0
Punkte
82
Die Frage kam wie aus meinem Mund gesprochen:)
Auch ich suche eine Möglichkeit, IP Adressen bei der Automatischen Blockierung einzutragen.

So könnte man eine Liste mit geblockten IPs zusammentragen, und diese dann bei sich auch sperren.
 

crick

Benutzer
Mitglied seit
29. Mai 2008
Beiträge
1.241
Punkte für Reaktionen
2
Punkte
64

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0

rauppe31

Benutzer
Mitglied seit
06. Jun 2011
Beiträge
2.734
Punkte für Reaktionen
0
Punkte
82
Code:
iptables -A INPUT -s IP_ZUM_SPERREN -j DROP
@rauppe
meinst du sowas? http://tobisworld.homeip.net/ip2mysql-client.php :) Geht aber leider nicht mit Bordmitteln

Sind das die IPs, die gesperrt wurden, oder die, die auf irgendeine Seite zugegriffen haben?

Ich dachte eher an eine Liste mit IPs, die von der automatischen Blockierung geblockt wurden.

Z.B. Mein Nachbar hat bei seiner DS 110j ca. 150 IPs, die in der Liste der Blockierten IPs stehen. Ich habe nur 15.

Die Frage ist: Wie kann ich diese 150 IPs auch bei mir eintragen? Natürlich nicht jede einzeln.
Es müsste dooch ein File geben, wo die IPs drinnstehen.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
aber auch nicht automatisch, sondern nur indem du die geblockten IPs manuell in der htaccess nachführst. Es gibt afaik ein autoblock-Binary. Man müsste mal gucken ob man mit einem der möglichen Parameter die aktuell gesperrten IPs ausgeben könnte. Diese Ausgabe könnte man mittels eines regelmässigen cronjobs ermitteln und die IP via Script in iptables eintragen
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Sind das die IPs, die gesperrt wurden, oder die, die auf irgendeine Seite zugegriffen haben?
das sind IPs/Ports von IPs die bereits in mindestens 2 Stufen automatisch gesperrt wurden und trotzdem noch Zugriffe versuchen. In eineer ersten Stufe habe ich bei mir fail2ban am Laufen. Dessen Job ist es User bei Verstössen für 10min zu sperren. Dann habe ich in einer zweiten Stufe ein Script, das die Logs von fail2ban auswertet und nach wiederkehrenden IPs sucht. Bei einem bestimmten Count pro IP schreibt mein Script diese IPs dann in eine eigene iptables-Chain. IPs dort drin sind solange gesperrt bis ich sie manuell lösche. In einer weiteren chain schreibe ich die IPs nochmals rein, diesmal aber mit dem "Befehl" IP und Port an ein externes Script zu schicken. Dieses Script schreibt die Daten dann in die DB. Ich schreibe also längst nicht jeden Versuch in die DB, sondern man muss sich schon etwas anstrengen um dort drin zu landen :)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
ich würde so was trotzdem eher via Firewall als via die Anwendung machen. htaccess wäre Anwendung (Apache Webserver). Du würdest zudem diese IPs nur für den DSM resp das Verzeichnis mit der htacess sperren. Diese IPs wären also z.B. für smtp oder imap oder nur schon andere Webseiten auf der DS nicht gesperrt. Sowas solltest du immer auf Firewallebene machen und nicht auf Ebene der Endanwendung
 

wolfda

Benutzer
Mitglied seit
14. Feb 2012
Beiträge
120
Punkte für Reaktionen
0
Punkte
0
Okay, war bloß so eine Idee weil ich keinen Zugriff auf Router und Firewall habe.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
die DS hat doch ne eigene Firewall. die kannst du dafür nutzen
 

wolfda

Benutzer
Mitglied seit
14. Feb 2012
Beiträge
120
Punkte für Reaktionen
0
Punkte
0
Die nutz ich ja auch schon aber man kann ja keine IP-Adressräume eintragen.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Die nutz ich ja auch schon aber man kann ja keine IP-Adressräume eintragen.
kann sein, dass es im DSM ned geht. In der Firewall auf der Konsole geht das schon z.B.
Code:
iptables -A INPUT -s 192.168.0.0/16 -j DROP
verwirft das gesamte 192.168-er private Subnet. Das einzige was per default ned geht ist es eine Range mit Anfang und Ende anzugeben. Ranges als Subnetze sind aber, zumindest direkt auf der Konsole, durchaus möglich
 

rauppe31

Benutzer
Mitglied seit
06. Jun 2011
Beiträge
2.734
Punkte für Reaktionen
0
Punkte
82
Gibt es eigentlich einen Befehl, wie man Das gesamte Verzeichnis auf der DS inkl. Dateiinhalt durchsuchen kann?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
grep ist dein Freund :)
 

wolfda

Benutzer
Mitglied seit
14. Feb 2012
Beiträge
120
Punkte für Reaktionen
0
Punkte
0
Wäre trotzdem irgendwie komfortabler wenn Synology die Firewall um einen Punkt erweitern würde
so das man ganze Adressräume direkt aussperren kann.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
ganze Adressräume sollte man eher nicht einfach so sperren. Das kann auch bös ins Auge gehen. Ich würde immer erst empfehlen einen whois der IP zu machen und sich an den zuständigen Provider zu wenden und ihn auffordern etwas zu unternehmen. Erst wenn das nicht klappt und der Provider auf stur stellt bzw wenn es etliche verschiedene IPs aus seinen Subs sind, sollte man überlegen den gesamten Raum des Providers zu sperren. Wenn es nur wenige IPs eines Providers sind würde ich empfehlen die erstmal nur einzeln zu sperren und nicht gleich das ganze Sub.
Wenn man das Feature im DSM hätte dann gäbe vielleicht mal einen unbedarften User, der AnfangsIP 0.0.0.0 und EndIP 255.255.255.255 einträgt und sich dann wundert weil einfach gar nichts mehr geht ;-) du darfst nicht vergessen, dass du auf der DS keine lokale Konsole hast und immer via Netzwerk zugreifst.
 

dkonly

Benutzer
Mitglied seit
13. Mrz 2011
Beiträge
17
Punkte für Reaktionen
0
Punkte
1
Das ist ein leidiges Thema für mich auch. Seit langer Zeit suche nach einem Linux-Tool, der auch auf einer DS fuktionieren würde. Sowas:
http://www.peerblock.com/
Da kann man nicht nur bestimmte Bereiche, sondern auch IP-Adressen von bestimmten Ländern sperren ;)
http://www.iblocklist.com/lists.php
http://list.iblocklist.com/?list=de
Es gibt auch eine Variante für Debian, aber ich weiss es nicht, ob das ganze zusammen mit DSM funktionieren kann
http://forums.peerblock.com/read.php?5,11501,11501#msg-11501
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat