Webserver-Zugriffe aus China, Russland etc. blocken via IPFW, IPF u.a.

[testit]

Hallo,

ich habe genug von den ressourcenfressenden Zugriffen auf meinen Webserver aus China, Russland etc.
DENY-Blocklisten für den Apache2-Server in der httpd.conf sind m.E. auf Dauer nicht performant genug, weswegen ich gerne Firewall-
IP-Blocklisten nutzen möchte.

Derartige Blocklisten sind idR für IPTABLES generiert worden.

Bislang nutze ich weder IPFW, IPF noch PF, daher meine Frage: Welche der genannten 3 Firewalls könnt ihr mir empfehlen? Möglicherweise gibt es dafür auch einen Konverter, der die Blocklists im iptables APF format entsprechend umwandelt?

Herzlichen Dank im voraus und freundliche Grüße
testit

 

[Illuminatus]

https://doc.pfsense.org/index.php/Country_Block

prinzipiell gefällt mir pf. Mit obigem Paket für pfSense, könntest du dir auch eine pf.conf generieren (in einer VM z.B.), um dir die Einstiegshürde einfacher zu gestalten.

edit:
möglicherweise kannst du irgendwelche Begriffe oder Tags in deinem Webangebot versteckt unterbringen.
Ich Ziele damit auf die chinesischen Zensurmaßnahmen. Angenommen in einem HTML Kommentar wäre "Platz des himmlischen Friedens" enthalten... würde diese Regierung beim Blocken deiner Seite schon helfen ;-)

 

[testit]

Hi,

danke für den Link! Schaue mir das genauer an und teste es auf einer VM!

Der Hinweis auf "Platz des himmlischen Friedens" ist spitze ;-)


Viele Grüße
testit

 

[TCM]

http://www.bsdforen.de/threads/sicherheit-bei-remote-verbindung-über-libssh.30576/#post-257684

 

[Mardor]

Hi,

bei meinem Server lasse ich nur Adressen von DE/CH/AU IP Adressen auf bestimmte Services zu.
Hierzu benutze ich pf und einfach eine Liste von IP Adressen normalerweise in diesem Land genutzt wird (diese Liste gibt es kostenlos im Internet auf versch. Seiten)

Im pf script wird zuerst der auf das File verwiesen:

table <wl_germany> persist file "/data/whitelist_IP_germany.txt"
table <wl_austria> persist file "/data/whitelist_IP_austria.txt"
table <wl_switzerland> persist file "/data/whitelist_IP_switzerland.txt"

Danach die Policy die nur diese IP Adressen erlaubt.

rdr pass on $if proto tcp from { <wl_germany>, <wl_austria>, <wl_switzerland>} to $if port 80 -> $webserver_1

Trotz der umfangreichen Liste der IP Adressen habe ich bis jetzt noch absolut keine Geschwindigkeitseinbrüche gemerkt

Gruß Mardor

 

[TCM]

Trotz der umfangreichen Liste der IP Adressen habe ich bis jetzt noch absolut keine Geschwindigkeitseinbrüche gemerkt

Wie auch? Das kann höchstens beim Verbindungsaufbau um Milli- oder Mikrosekunden verzögern. Danach ist eh state table gefragt.

 

[minimike]

Wie wäre es mit Mod_GEOIP2 als Apachemodul?