Wie kompletten IP-Bereich sperren

Status
Für weitere Antworten geschlossen.

henning

Benutzer
Mitglied seit
30. Mrz 2009
Beiträge
75
Punkte für Reaktionen
0
Punkte
6
Ich hab hier einen hartnäckigen Chinesen, der immer wieder versucht meine DS zu knacken :mad:
Whois meldet mir eine Uni in China, die hab ich bereits angeschrieben, scheint dort aber niemanden zu stören. Sobald die eingestellte Sperrzeit abläuft, versucht er es wieder und wird erneut geblockt. Jetzt habe ich die IP dauerhaft in die Blacklist geschrieben, möchte aber den gesamten IP-Bereich der Uni darin aufnehmen. Das sind xx.xx.32.0 - xx.xx.47.255 doch einige…*Gibt es da eine Möglichkeit oder muss ich erst eine Excel-Liste anlegen und dann importieren?
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Du kannst entweder die komplette IP-Range sperren, oder aber Du machst es mit der Firewall per GeoIP-Blocking.
Hier gibt es natürlich auch Wege das zu umgehen, aber das wäre zusätzlicher Aufwand für die chinesische Uni.
 

Steini

Benutzer
Mitglied seit
22. Mrz 2010
Beiträge
423
Punkte für Reaktionen
1
Punkte
0
Über die automatische Blockierung kannst du nur Einzel-Hosts eintragen oder eben eine Liste importieren. Hast du die Firewall aktiviert? Falls ja, trag’ doch dort die zu sperrenden IPs ein. Das geht entweder mittels Subnetzmaske (255.255.240.0) oder der Eingabe des gesamten IP-Bereichs.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Die erste Frage wäre doch, welche Ports Du offen hast?
 

henning

Benutzer
Mitglied seit
30. Mrz 2009
Beiträge
75
Punkte für Reaktionen
0
Punkte
6
@whitbread
ports 6690
21
111
892
2049
443
80
5006

Firewall nicht aktiv.
Es wird von externen Kunden auf die DS teilweise per FTP, teilweise per Browser zugegriffen. Photo-Station läuft auch noch… WebDAV brauche ich um die Daten von woanders aus direkt bearbeiten zu können.
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
@ Henning: Auf jeden Fall die Firewall aktivieren und mittels Geoblocking China hinzufügen, das hilft schon einmal. Sofern der Kundenzugang nicht zu stark eingeschränkt wird, würde ich noch unter "Automatische Blockierung" die Option "Verfallen der Blockierung aktivieren" deaktivieren. Man müßte dann im Notfall Kunden IP's manuell aus der Liste der blockierten IP's löschen, aber Sicherheit sollte vorgehen. Weiterhin würde ich alle Ports außer Port 80 und 443 auf einen hohen vier- oder fünfstelligen Port "verlegen". Gerade Port 21 ist für viele zu verlockend.

Warte nicht auf eine Antwort der Uni. In China kümmert das niemand ....
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Man kann doch in det Firewall ein Netz in Cidr Schreibweise eintragen, oder irre ich mich da? Aus Anfangs und End IP der Uni kann man sich die cidr Netze berechnen und dann an die Firewall verfüttern. Das Linux Kommando ipcalc kann dabei helfen. Oft steht das Netz aber auch in den whois Informationen
 

mexx81

Benutzer
Mitglied seit
17. Dez 2013
Beiträge
597
Punkte für Reaktionen
0
Punkte
42
Ich schließe mich meinen Vorrednern an. Firewall aktivieren und ich ergänze um Reverse Proxy. Trenn Dich von so vielen WAN Ports wie es geht und setzte es mit dem Reverse Proxy um.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Also bei der Liste würde ich auch über den Reverse-Proxy nachdenken.
Die Nutzung der IP-Blockierung ist ja sowieso Pflicht und ich vermute mal, dass Du mit Geoblocking auch ganz gut leben kannst (sofern Du keine Kunden aus China hast). Ich habe eine Whitelist fürs Geoblocking, da ich kein Bedarf habe, weltweit erreichbar zu sein. Man sollte sich jedoch bewusst sein, dass Geoblocking gegen die wirklich bösen Jungs keinen Schutz bietet.
IP-Bereiche manuell zu sperren würde sich dann erübrigen.

Ansonsten würde ich den FTP-Port einfach mal auf einen ungenutzen vier- oder fünfstelligen Port verlegen, sofern Deine Kunden das verstehen; damit wirst Du die Script-Kiddies schonmal los.
 

henning

Benutzer
Mitglied seit
30. Mrz 2009
Beiträge
75
Punkte für Reaktionen
0
Punkte
6
Ok, China ist erst mal geblockt, ein paar Ostblock-Länder kommen noch dazu.
Wo kann ich was über den Reverse-Proxy lesen?
 

Stewi

Benutzer
Mitglied seit
29. Dez 2011
Beiträge
418
Punkte für Reaktionen
9
Punkte
18
Nur mal zu den Firewall Regeln und dem Geo-Blocking .... eigentlich geht man anders herum an die Sache ran. Statt einzelne Länder zu blockieren (es gehen iirc sowieso nur 15), erst einmal alles blocken und dann nur die Länder erlauben, die unbedingt auf das NAS zugreifen müssen. Tommes hat das mal hier (*klick*) sehr gut beschrieben. Und nie (!) vergessen den eigenen IP Bereich zu erlauben. ;-)
 

rednag

Benutzer
Mitglied seit
08. Nov 2013
Beiträge
3.955
Punkte für Reaktionen
12
Punkte
104
Würde ich auch so handhaben. Generell erstmal alles verbieten, bis auf das lokale Netz.
Dann gezielt nur die Dienste erlauben, die benötigt werden.
Und nicht vergessen: Die Regeln werden von oben nach unten abgearbeitet. Deswegen sollte die erste Regel eine Ausnahme für das lokale Netz sein.

Gruß Rednag
 

stefaktiv

Benutzer
Mitglied seit
04. Jan 2017
Beiträge
94
Punkte für Reaktionen
0
Punkte
6
Kann man alle ausländischen Regionen auch gleich im eigenen Router / in der Fritzbox blockieren lassen? Dann käme es gar nicht einmal bis zum NAS...
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
IP-Ranges sperren ist nicht unbedingt soooo sinnig... IPs werden nämlich auch "verkauft". Da wird dann aber registriert wer welches Netz usw. intus hat und wo die sitzen (-> Geo-Blocking). Letzteres dürfte also effektiver sein. Geht es um ein Land in welchem Du Dich aber mitunter auch mal aufhälst, wird es schon problematischer, aber auch da kann man schauen, wem das Netz gehört und ggf. auch ausschliessen.

Was den Reverse-Proxy angeht, so gibt es tonnenweise Anleitungen im Netz (einfach mal Google bemühen: synology reverse proxy ;)).

EDIT: Nein, Fritzbox kann sowas nicht.
 

whitbread

Benutzer
Mitglied seit
24. Jan 2012
Beiträge
1.294
Punkte für Reaktionen
54
Punkte
68
Eine Fritzbox ist kein Router!
Wenn man einen Router hat, der Geoblocking unterstützt, gehört das natürlich dort hin.
 

stefaktiv

Benutzer
Mitglied seit
04. Jan 2017
Beiträge
94
Punkte für Reaktionen
0
Punkte
6
Eine Fritzbox ist kein Router!

Nenn die Fritzbox ruhig eine Kartoffelsuppe... für mich bleibt es trotzdem ein Router und ich scheine damit nicht alleine zu sein:
https://www.techbook.de/easylife/fritzbox-avm-7490-7590-7390-geraeteuebersicht-kabel-dsl-wlan
("Router-Topmodell" etc.)

Die Frage war aber ja nicht: was ist eine Fritzbox, sondern ob eine Fritzbox nicht gleich schon eingehende Anfragen bestimmter Regionen von Haus aus abblocken kann. Dass das natürlich vielfältig umgangen werden kann ist klar. Offensichtlich macht sich aber nicht jeder die Mühe... die Tage hatte ich eine von der Synology Diskstation blockierten Einwahlversuch mit russischer IP. Würden die Russen nur irgendeinen Wert darauf legen die wahre Herkunft zu verschleiern, so würden sie ja über einen deutschen Proxy arbeiten. Zumindest diese dümmlichen Angriffe möchte ich so bald wie möglich im Netz abblocken. Die Fritzbox wäre dabei das erste Gerät... wie aber blurrr schon geschrieben hat, scheint die Fritzbox das nicht zu können.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat