robertroth: iptables, Netzmaske bestimmen, Bereich aussperren

Liebe Mitdenker, liebe Wissende, liebe Neugierige,

ja!

Wie müssten die passende Netzdefintion und Netzmaske (für iptables) heißen, damit der Bereich

218.64.0.0 - 218.65.127.255

draußen bleibt?

Zur Not zwei Einträge für 218.64.0.0/16 und die zweite... Liege ich da mit 218.65.0.0/17 richtig?

Spirituelle Grüße
Euer Robert

--
Möge der wahre Forumsgeist ewig leben!
  1. Tach!

    Wie müssten die passende Netzdefintion und Netzmaske (für iptables) heißen, damit der Bereich 218.64.0.0 - 218.65.127.255 draußen bleibt?

    Zur Not zwei Einträge für 218.64.0.0/16 und die zweite... Liege ich da mit 218.65.0.0/17 richtig?

    Ja. Es gibt IP-Rechner im Netz. Einer davon hat mir das so bestätigt. 218.64.0.0/15 wäre zu viel, das ginge bis 218.65.255.255.

    dedlfix.

    1. Liebe Mitdenker, liebe Wissende, liebe Neugierige,

      ja!

      Wie müssten die passende Netzdefintion und Netzmaske (für iptables) heißen, damit der Bereich 218.64.0.0 - 218.65.127.255 draußen bleibt?

      Zur Not zwei Einträge für 218.64.0.0/16 und die zweite... Liege ich da mit 218.65.0.0/17 richtig?

      Ja. Es gibt IP-Rechner im Netz. Einer davon hat mir das so bestätigt. 218.64.0.0/15 wäre zu viel, das ginge bis 218.65.255.255.

      Erstmal Dank. :-)

      Du hättest von dem IP-Rechner hier einen Link hinterlassen können für die Nachwelt. Ich such jetzt nochmal und wenn ich einen finde, dann versuch ich ich das mit dem Link. Ist ja alles anders inzwischen :-O

      Spirituelle Grüße
      Euer Robert

      --
      Möge der wahre Forumsgeist ewig leben!
      1. Tach!

        Du hättest von dem IP-Rechner hier einen Link hinterlassen können für die Nachwelt.

        „ip calculator“ und der Google spuckte mir als ersten den da aus. Es gibt auch noch kompfortablere, aber der hat in dem Fall gereicht, um mit einer Adresse und dem Durchprobieren von Netzmasken die Antwort zu finden.

        dedlfix.

  2. Moin!

    218.64.0.0 - 218.65.127.255
    

    draußen bleibt?

    Ich habe nachgeschaut.

    whois 218.64.0.0 liefert:
    
    inetnum:        218.64.0.0 - 218.65.127.255
    netname:        CHINANET-JX
    country:        CN
    descr:          CHINANET jiangxi province network
    descr:          China Telecom
    descr:          No.31,jingrong street
    descr:          Beijing 100032
    admin-c:        CH93-AP
    tech-c:         JN113-AP
    changed:        hostmaster@cn.net 20020829
    mnt-by:         MAINT-CHINANET
    mnt-lower:      MAINT-IP-WWF
    status:         ALLOCATED NON-PORTABLE
    source:         APNIC
    
    
    whois 218.65.128.1 liefert:
    
    inetnum:        218.65.128.0 - 218.65.255.255
    netname:        CHINANET-GX
    descr:          CHINANET Guangxi province network
    descr:          China Telecom
    descr:          A12,Xin-Jie-Kou-Wai Street
    descr:          Beijing 100088
    country:        CN
    admin-c:        CH93-AP
    tech-c:         CR766-AP
    mnt-by:         MAINT-CHINANET
    mnt-lower:      MAINT-CHINANET-GX
    changed:        hostmaster@ns.chinanet.cn.net 20010731
    status:         ALLOCATED NON-PORTABLE
    source:         APNIC
    

    Damit kannst Du beide in einem Abwasch sperren. Blockiere 218.64.0.0/15 und gut ist es.

    Jörg Reinholz

    1. Liebe Mitdenker, liebe Wissende, liebe Neugierige,

      ja!

      Moin!

      218.64.0.0 - 218.65.127.255
      

      draußen bleibt?

      Ich habe nachgeschaut.

      whois 218.64.0.0 liefert:
      
      inetnum:        218.64.0.0 - 218.65.127.255
      netname:        CHINANET-JX
      country:        CN
      descr:          CHINANET jiangxi province network
      descr:          China Telecom
      descr:          No.31,jingrong street
      descr:          Beijing 100032
      admin-c:        CH93-AP
      tech-c:         JN113-AP
      changed:        hostmaster@cn.net 20020829
      mnt-by:         MAINT-CHINANET
      mnt-lower:      MAINT-IP-WWF
      status:         ALLOCATED NON-PORTABLE
      source:         APNIC
      
      
      whois 218.65.128.1 liefert:
      
      inetnum:        218.65.128.0 - 218.65.255.255
      netname:        CHINANET-GX
      descr:          CHINANET Guangxi province network
      descr:          China Telecom
      descr:          A12,Xin-Jie-Kou-Wai Street
      descr:          Beijing 100088
      country:        CN
      admin-c:        CH93-AP
      tech-c:         CR766-AP
      mnt-by:         MAINT-CHINANET
      mnt-lower:      MAINT-CHINANET-GX
      changed:        hostmaster@ns.chinanet.cn.net 20010731
      status:         ALLOCATED NON-PORTABLE
      source:         APNIC
      

      Damit kannst Du beide in einem Abwasch sperren. Blockiere 218.64.0.0/15 und gut ist es.

      Aus dem zweiten Netz sind aber bisher keine unerwünschten Zugriffe gekommen. Sind ja wohl offizielle auch zwei verschiedene Inhaber.

      Ich kann ja nicht den ganzen Chinahandel aussperren. Allerdings könnten wir auch eine Exception-List aufbauen für die 15-20 Unternehmen, mit denen Kontakte bestehen. Die haben bisher unter ihrer eigenen IP auch noch nie Schindluder getrieben.

      Im Rahmen der ganzen "wer verarscht wen im Internet"-Diskussion fragt man sich aber inzwischen überhaupt, ob man nicht zu "Wer liefert was" in Buchform, Schreibmaschine, Kopieretiketten, und anständigen Drucksachen zurückkehren sollte? Früher galt, wer sich eintragen läst (für viel Geld) meint es auch ernst und ist nicht morgen schon wieder verschwunden.

      Spirituelle Grüße
      Euer Robert

      --
      Möge der wahre Forumsgeist ewig leben!
      1. Hallo

        whois 218.64.0.0 liefert:
        inetnum:        218.64.0.0 - 218.65.127.255
        netname:        CHINANET-JX
        country:        CN
        descr:          CHINANET jiangxi province network
        descr:          China Telecom
        descr:          No.31,jingrong street
        descr:          Beijing 100032
        
        
        whois 218.65.128.1 liefert:
        inetnum:        218.65.128.0 - 218.65.255.255
        netname:        CHINANET-GX
        descr:          CHINANET Guangxi province network
        descr:          China Telecom
        descr:          A12,Xin-Jie-Kou-Wai Street
        descr:          Beijing 100088
        country:        CN
        

        Aus dem zweiten Netz sind aber bisher keine unerwünschten Zugriffe gekommen. Sind ja wohl offizielle auch zwei verschiedene Inhaber.

        Sieht mir eher nach verschiedenen Instanzen einer Firma aus, die für verschiedene Provinzen zuständig sind.

        Was mir noch durch den Kopf geht, sind Dienste, wie Stop Forum Spam und ähnliche Dienste, bei denen man Anfragen über eine API auf Spamverdacht prüfen lassen kann.

        Tschö, Auge

        --
        Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war. Terry Pratchett, “Wachen! Wachen!
      2. Moin!

        Damit kannst Du beide in einem Abwasch sperren. Blockiere 218.64.0.0/15 und gut ist es.

        Ich kann ja nicht den ganzen Chinahandel aussperren.

        Aha. Es gibt die Möglichkeit, dass aus China legale Zugriffe kommen. Warum kommunizierst Du das nicht?

        Allerdings könnten wir auch eine Exception-List aufbauen für die 15-20 Unternehmen, mit denen Kontakte bestehen. Die haben bisher unter ihrer eigenen IP auch noch nie Schindluder getrieben.

        Und wie wollt Ihr an neue Kunden, Lieferanten oder Kontakte in China kommen?

        Im Rahmen der ganzen "wer verarscht wen im Internet"-Diskussion

        Dann lass es zunächst bei dem, was fail2ban macht, verbinde das mit einem Monitoring der Systeme. Menschliche Intelligenz ist auch in der IT immer noch unersetzbar.

        Jörg Reinholz

        1. Moin!

          (Ich:)

          Aha. Es gibt die Möglichkeit, dass aus China legale Zugriffe kommen. Warum kommunizierst Du das nicht? ... Dann lass es zunächst bei dem, was fail2ban macht, verbinde das mit einem Monitoring der Systeme. Menschliche Intelligenz ist auch in der IT immer noch unersetzbar.

          Das sind beides ISP bzw. sogar die Töchter des selben ISP. Da kannst Du in Deiner Situation überhaupt nicht das ganze Netz sperren, sondern nur die Hosts und auch das nur zeitlich begrenzt.

          Darüber hinaus wäre die Frage zu stellen, was denn für Dienste auf dem Server angegriffen werden und was für Dienste eigentlich öffentlich angeboten werden. Ist das z.B. ein Webserver und wird der SSH angegriffen, dann sperre nur den SSH-Port. Oder verlege ihn vorher erst mal probeweise.

          Jörg Reinholz

          1. Liebe Mitdenker, liebe Wissende, liebe Neugierige,

            ja!

            Aha. Es gibt die Möglichkeit, dass aus China legale Zugriffe kommen. Warum kommunizierst Du das nicht?

            Sollte man doch annehmen, bei der Größe Chinas, oder? Auch aus der Ukraine, aus der Türkei, usw. kommen legale Zugriffe. Die kommen auch über ISPs bzw. Access-Provider für DSL. Jaaaa, die haben da auch schon sowas. Und sogar oft auf dem Land schon mit einer Geschwindigkeit, von der wir noch in der Stadt träumen. ;-)

            Dann lass es zunächst bei dem, was fail2ban macht, verbinde das mit einem Monitoring der Systeme. Menschliche Intelligenz ist auch in der IT immer noch unersetzbar.

            Ich lasse fail2ban laufen, lasse jede Stunde einen Cronjob das Log auswerten und bei Häufung von temporäten Aussperrungen einer IP eine Warnung absetzen. Die Warnungen sehe ich regelmäßig an und wenn die alle zu einem Netz gehören, wird das ganze Netz gesperrt, wenn es nich zu groß ist und keine IP davon auf meiner Whitelist steht (habe ich jetzt erst angefangen, ist auch nicht so ganz einfach).

            Das sind beides ISP bzw. sogar die Töchter des selben ISP. Da kannst Du in Deiner Situation überhaupt nicht das ganze Netz sperren, sondern nur die Hosts und auch das nur zeitlich begrenzt.

            Darüber hinaus wäre die Frage zu stellen, was denn für Dienste auf dem Server angegriffen werden und was für Dienste eigentlich öffentlich angeboten werden. Ist das z.B. ein Webserver und wird der SSH angegriffen, dann sperre nur den SSH-Port. Oder verlege ihn vorher erst mal probeweise.

            Angegriffen wird üblicherweise SSH, Mail und FTP (da läuft aber nur ein Fake). Dann gibt es noch einen DBMS-Port mit TLS-Hülle (eine Art VPN), der wird aber nur selten getroffen und außerdem ist das interne Protokoll proprietär. Bisher hat es keinen fremden Loginversuch gegeben.

            HTTP-Verusche müsste ich doch irgendwie in den Apache-Server-Logs sehen? Ist natürlich nicht ganz leicht, weil nicht alle Weichwaren die HTTP-Status-Codes einhalten. Aber im Weichwaren-Protokoll müsste es noch auftauchen. Da geben die ich auch gar nicht erst Mühe. Die scheinen zu wissen, dass man bei knackbaren HTTP-Zugängen sowieso nix holen kann.

            Spirituelle Grüße
            Euer Robert

            --
            Möge der wahre Forumsgeist ewig leben!
  3. Liebe Mitdenker, liebe Wissende, liebe Neugierige,

    ja!

    Wie versprochen, noch eine Adresse. IP-Rechner von Heise

    Der gefällt mir sehr gut.

    Spirituelle Grüße
    Euer Robert

    --
    Möge der wahre Forumsgeist ewig leben!
    1. Hallo Rober,

      Wie versprochen, noch eine Adresse. IP-Rechner von Heise

      kleine Verbesserung http://www.heise.de/netze/tools/netzwerkrechner/ in deinem Link fehlen die ":"

      1. Liebe Mitdenker, liebe Wissende, liebe Neugierige,

        ja!

        Wie versprochen, noch eine Adresse. IP-Rechner von Heise

        kleine Verbesserung http://www.heise.de/netze/tools/netzwerkrechner/ in deinem Link fehlen die ":"

        Danke für die Korrektur.

        Diese kleine Inkontinenz rechne ich aber der neuen Forumssoftwarwe zu. Die hat nicht gemerkt, das in meinem Link ein doppeltes Scheme (http://http://) drin stand, weil ich den Link einfach nur in das Klickfenster kopuert habe.

        Wie kann ich das überigens während dem Schreiben mit der Tastatur öffnen?

        Spirituelle Grüße
        Euer Robert

        --
        Möge der wahre Forumsgeist ewig leben!
        1. Tach!

          Wie kann ich das überigens während dem Schreiben mit der Tastatur öffnen?

          Erst Taste [ dann den Linktext tippen, dann ] und ( und nun den Link einfügen, zum Abschluss )

          War doch gar nicht schwer, oder? ;)

          Alternativ kannst du auch deine browserspezifische Hotkey-Taste und L drücken. Welches diese Hotkeytaste(nkombination) ist? Das ist je nach Browser und Betriebssystem unterschiedlich.

          dedlfix.

      2. Tach!

        Wie versprochen, noch eine Adresse. IP-Rechner von Heise

        kleine Verbesserung http://www.heise.de/netze/tools/netzwerkrechner/ in deinem Link fehlen die ":"

        Da war ein http:// zu viel. Ich habs mir erlaubt in seinem Posting zu korrigieren.

        dedlfix.