tag:forum.selfhtml.org,2005:/self iptables, Netzmaske bestimmen, Bereich aussperren – SELFHTML-Forum 2015-03-28T20:12:17Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635600#m1635600 robertroth robert.r@online.de 2015-03-27T10:42:57Z 2015-03-27T10:42:57Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Liebe Mitdenker, liebe Wissende, liebe Neugierige,</p> <p>ja!</p> <p>Wie müssten die passende Netzdefintion und Netzmaske (für iptables) heißen, damit der Bereich</p> <pre><code class="block">218.64.0.0 - 218.65.127.255 </code></pre> <p>draußen bleibt?</p> <p>Zur Not zwei Einträge für 218.64.0.0/16 und die zweite... Liege ich da mit 218.65.0.0/17 richtig?</p> <p>Spirituelle Grüße<br> Euer Robert</p> <div class="signature">-- <br> Möge der wahre Forumsgeist ewig leben! </div> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635608#m1635608 dedlfix 2015-03-27T11:26:54Z 2015-03-27T11:26:54Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Tach!</p> <blockquote> <p>Wie müssten die passende Netzdefintion und Netzmaske (für iptables) heißen, damit der Bereich 218.64.0.0 - 218.65.127.255 draußen bleibt?</p> <p>Zur Not zwei Einträge für 218.64.0.0/16 und die zweite... Liege ich da mit 218.65.0.0/17 richtig?</p> </blockquote> <p>Ja. Es gibt IP-Rechner im Netz. Einer davon hat mir das so bestätigt. 218.64.0.0/15 wäre zu viel, das ginge bis 218.65.255.255.</p> <p>dedlfix.</p> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635641#m1635641 Jörg Reinholz http://www.fastix.org 2015-03-27T14:42:45Z 2015-03-27T14:42:45Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Moin!</p> <blockquote> <pre><code class="block">218.64.0.0 - 218.65.127.255 </code></pre> <p>draußen bleibt?</p> </blockquote> <p>Ich habe nachgeschaut.</p> <pre><code class="block">whois 218.64.0.0 liefert: inetnum: 218.64.0.0 - 218.65.127.255 netname: CHINANET-JX country: CN descr: CHINANET jiangxi province network descr: China Telecom descr: No.31,jingrong street descr: Beijing 100032 admin-c: CH93-AP tech-c: JN113-AP changed: hostmaster@cn.net 20020829 mnt-by: MAINT-CHINANET mnt-lower: MAINT-IP-WWF status: ALLOCATED NON-PORTABLE source: APNIC whois 218.65.128.1 liefert: inetnum: 218.65.128.0 - 218.65.255.255 netname: CHINANET-GX descr: CHINANET Guangxi province network descr: China Telecom descr: A12,Xin-Jie-Kou-Wai Street descr: Beijing 100088 country: CN admin-c: CH93-AP tech-c: CR766-AP mnt-by: MAINT-CHINANET mnt-lower: MAINT-CHINANET-GX changed: hostmaster@ns.chinanet.cn.net 20010731 status: ALLOCATED NON-PORTABLE source: APNIC </code></pre> <p>Damit kannst Du beide in einem Abwasch sperren. Blockiere 218.64.0.0/15 und gut ist es.</p> <p>Jörg Reinholz</p> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635738#m1635738 robertroth robert.r@online.de 2015-03-28T19:20:15Z 2015-03-28T20:04:56Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Liebe Mitdenker, liebe Wissende, liebe Neugierige,</p> <p>ja!</p> <p>Wie versprochen, noch eine Adresse. <a href="http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">IP-Rechner von Heise</a></p> <p>Der gefällt mir sehr gut.</p> <p>Spirituelle Grüße<br> Euer Robert</p> <div class="signature">-- <br> Möge der wahre Forumsgeist ewig leben! </div> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635620#m1635620 robertroth robert.r@online.de 2015-03-27T12:56:40Z 2015-03-27T12:56:40Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Liebe Mitdenker, liebe Wissende, liebe Neugierige,</p> <p>ja!</p> <blockquote> <blockquote> <p>Wie müssten die passende Netzdefintion und Netzmaske (für iptables) heißen, damit der Bereich 218.64.0.0 - 218.65.127.255 draußen bleibt?</p> <p>Zur Not zwei Einträge für 218.64.0.0/16 und die zweite... Liege ich da mit 218.65.0.0/17 richtig?</p> </blockquote> <p>Ja. Es gibt IP-Rechner im Netz. Einer davon hat mir das so bestätigt. 218.64.0.0/15 wäre zu viel, das ginge bis 218.65.255.255.</p> </blockquote> <p>Erstmal Dank. :-)</p> <p>Du hättest von dem IP-Rechner hier einen Link hinterlassen können für die Nachwelt. Ich such jetzt nochmal und wenn ich einen finde, dann versuch ich ich das mit dem Link. Ist ja alles anders inzwischen :-O</p> <p>Spirituelle Grüße<br> Euer Robert</p> <div class="signature">-- <br> Möge der wahre Forumsgeist ewig leben! </div> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635624#m1635624 dedlfix 2015-03-27T13:42:19Z 2015-03-27T13:42:19Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Tach!</p> <blockquote> <p>Du hättest von dem IP-Rechner hier einen Link hinterlassen können für die Nachwelt.</p> </blockquote> <p>„ip calculator“ und der Google spuckte mir als ersten <a href="http://jodies.de/ipcalc" rel="nofollow noopener noreferrer">den da</a> aus. Es gibt auch noch kompfortablere, aber der hat in dem Fall gereicht, um mit einer Adresse und dem Durchprobieren von Netzmasken die Antwort zu finden.</p> <p>dedlfix.</p> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635656#m1635656 robertroth robert.r@online.de 2015-03-27T15:53:33Z 2015-03-27T15:53:33Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Liebe Mitdenker, liebe Wissende, liebe Neugierige,</p> <p>ja!</p> <blockquote> <p>Moin!</p> <blockquote> <pre><code class="block">218.64.0.0 - 218.65.127.255 </code></pre> <p>draußen bleibt?</p> </blockquote> <p>Ich habe nachgeschaut.</p> <pre><code class="block">whois 218.64.0.0 liefert: inetnum: 218.64.0.0 - 218.65.127.255 netname: CHINANET-JX country: CN descr: CHINANET jiangxi province network descr: China Telecom descr: No.31,jingrong street descr: Beijing 100032 admin-c: CH93-AP tech-c: JN113-AP changed: hostmaster@cn.net 20020829 mnt-by: MAINT-CHINANET mnt-lower: MAINT-IP-WWF status: ALLOCATED NON-PORTABLE source: APNIC whois 218.65.128.1 liefert: inetnum: 218.65.128.0 - 218.65.255.255 netname: CHINANET-GX descr: CHINANET Guangxi province network descr: China Telecom descr: A12,Xin-Jie-Kou-Wai Street descr: Beijing 100088 country: CN admin-c: CH93-AP tech-c: CR766-AP mnt-by: MAINT-CHINANET mnt-lower: MAINT-CHINANET-GX changed: hostmaster@ns.chinanet.cn.net 20010731 status: ALLOCATED NON-PORTABLE source: APNIC </code></pre> <p>Damit kannst Du beide in einem Abwasch sperren. Blockiere 218.64.0.0/15 und gut ist es.</p> </blockquote> <p>Aus dem zweiten Netz sind aber bisher keine unerwünschten Zugriffe gekommen. Sind ja wohl offizielle auch zwei verschiedene Inhaber.</p> <p>Ich kann ja nicht den ganzen Chinahandel aussperren. Allerdings könnten wir auch eine Exception-List aufbauen für die 15-20 Unternehmen, mit denen Kontakte bestehen. Die haben bisher unter ihrer eigenen IP auch noch nie Schindluder getrieben.</p> <p>Im Rahmen der ganzen "wer verarscht wen im Internet"-Diskussion fragt man sich aber inzwischen überhaupt, ob man nicht zu "Wer liefert was" in Buchform, Schreibmaschine, Kopieretiketten, und anständigen Drucksachen zurückkehren sollte? Früher galt, wer sich eintragen läst (für viel Geld) meint es auch ernst und ist nicht morgen schon wieder verschwunden.</p> <p>Spirituelle Grüße<br> Euer Robert</p> <div class="signature">-- <br> Möge der wahre Forumsgeist ewig leben! </div> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635657#m1635657 Auge 2015-03-27T16:10:48Z 2015-03-27T16:12:09Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Hallo</p> <pre><code class="block">whois 218.64.0.0 liefert: inetnum: 218.64.0.0 - 218.65.127.255 netname: CHINANET-JX country: CN descr: CHINANET jiangxi province network descr: China Telecom descr: No.31,jingrong street descr: Beijing 100032 whois 218.65.128.1 liefert: inetnum: 218.65.128.0 - 218.65.255.255 netname: CHINANET-GX descr: CHINANET Guangxi province network descr: China Telecom descr: A12,Xin-Jie-Kou-Wai Street descr: Beijing 100088 country: CN </code></pre> <blockquote> <p>Aus dem zweiten Netz sind aber bisher keine unerwünschten Zugriffe gekommen. Sind ja wohl offizielle auch zwei verschiedene Inhaber.</p> </blockquote> <p>Sieht mir eher nach verschiedenen Instanzen einer Firma aus, die für verschiedene Provinzen zuständig sind.</p> <p>Was mir noch durch den Kopf geht, sind Dienste, wie <a href="http://www.stopforumspam.com/" rel="nofollow noopener noreferrer">Stop Forum Spam</a> und <a href="https://www.google.de/search?&hl=de&q=spam+prevention+services" rel="nofollow noopener noreferrer">ähnliche Dienste</a>, bei denen man Anfragen über eine API auf Spamverdacht prüfen lassen kann.</p> <p>Tschö, Auge</p> <div class="signature">-- <br> Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war. Terry Pratchett, “Wachen! Wachen! </div> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635674#m1635674 Jörg Reinholz http://www.fastix.org 2015-03-27T18:43:58Z 2015-03-27T18:43:58Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Moin!</p> <blockquote> <blockquote> <p>Damit kannst Du beide in einem Abwasch sperren. Blockiere 218.64.0.0/15 und gut ist es.</p> </blockquote> </blockquote> <blockquote> <p>Ich kann ja nicht den ganzen Chinahandel aussperren.</p> </blockquote> <p>Aha. Es gibt die Möglichkeit, dass aus China legale Zugriffe kommen. Warum kommunizierst Du das nicht?</p> <blockquote> <p>Allerdings könnten wir auch eine Exception-List aufbauen für die 15-20 Unternehmen, mit denen Kontakte bestehen. Die haben bisher unter ihrer eigenen IP auch noch nie Schindluder getrieben.</p> </blockquote> <p>Und wie wollt Ihr an neue Kunden, Lieferanten oder Kontakte in China kommen?</p> <blockquote> <p>Im Rahmen der ganzen "wer verarscht wen im Internet"-Diskussion</p> </blockquote> <p>Dann lass es zunächst bei dem, was fail2ban macht, verbinde das mit einem Monitoring der Systeme. Menschliche Intelligenz ist auch in der IT immer noch unersetzbar.</p> <p>Jörg Reinholz</p> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635676#m1635676 Jörg Reinholz http://www.fastix.org 2015-03-27T18:49:41Z 2015-03-27T18:49:41Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Moin!</p> <p>(Ich:)</p> <blockquote> <p>Aha. Es gibt die Möglichkeit, dass aus China legale Zugriffe kommen. Warum kommunizierst Du das nicht? ... Dann lass es zunächst bei dem, was fail2ban macht, verbinde das mit einem Monitoring der Systeme. Menschliche Intelligenz ist auch in der IT immer noch unersetzbar.</p> </blockquote> <p>Das sind beides ISP bzw. sogar die Töchter des selben ISP. Da kannst Du in Deiner Situation überhaupt nicht das ganze Netz sperren, sondern nur die Hosts und auch das nur zeitlich begrenzt.</p> <p>Darüber hinaus wäre die Frage zu stellen, was denn für Dienste auf dem Server angegriffen werden und was für Dienste eigentlich öffentlich angeboten werden. Ist das z.B. ein Webserver und wird der SSH angegriffen, dann sperre nur den SSH-Port. Oder verlege ihn vorher erst mal probeweise.</p> <p>Jörg Reinholz</p> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635679#m1635679 robertroth robert.r@online.de 2015-03-27T19:09:43Z 2015-03-27T19:09:43Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Liebe Mitdenker, liebe Wissende, liebe Neugierige,</p> <p>ja!</p> <blockquote> <blockquote> <p>Aha. Es gibt die Möglichkeit, dass aus China legale Zugriffe kommen. Warum kommunizierst Du das nicht?</p> </blockquote> </blockquote> <p>Sollte man doch annehmen, bei der Größe Chinas, oder? Auch aus der Ukraine, aus der Türkei, usw. kommen legale Zugriffe. Die kommen auch über ISPs bzw. Access-Provider für DSL. Jaaaa, die haben da auch schon sowas. Und sogar oft auf dem Land schon mit einer Geschwindigkeit, von der wir noch in der Stadt träumen. ;-)</p> <blockquote> <blockquote> <p>Dann lass es zunächst bei dem, was fail2ban macht, verbinde das mit einem Monitoring der Systeme. Menschliche Intelligenz ist auch in der IT immer noch unersetzbar.</p> </blockquote> </blockquote> <p>Ich lasse fail2ban laufen, lasse jede Stunde einen Cronjob das Log auswerten und bei Häufung von temporäten Aussperrungen einer IP eine Warnung absetzen. Die Warnungen sehe ich regelmäßig an und wenn die alle zu einem Netz gehören, wird das ganze Netz gesperrt, wenn es nich zu groß ist und keine IP davon auf meiner Whitelist steht (habe ich jetzt erst angefangen, ist auch nicht so ganz einfach).</p> <blockquote> <p>Das sind beides ISP bzw. sogar die Töchter des selben ISP. Da kannst Du in Deiner Situation überhaupt nicht das ganze Netz sperren, sondern nur die Hosts und auch das nur zeitlich begrenzt.</p> <p>Darüber hinaus wäre die Frage zu stellen, was denn für Dienste auf dem Server angegriffen werden und was für Dienste eigentlich öffentlich angeboten werden. Ist das z.B. ein Webserver und wird der SSH angegriffen, dann sperre nur den SSH-Port. Oder verlege ihn vorher erst mal probeweise.</p> </blockquote> <p>Angegriffen wird üblicherweise SSH, Mail und FTP (da läuft aber nur ein Fake). Dann gibt es noch einen DBMS-Port mit TLS-Hülle (eine Art VPN), der wird aber nur selten getroffen und außerdem ist das interne Protokoll proprietär. Bisher hat es keinen fremden Loginversuch gegeben.</p> <p>HTTP-Verusche müsste ich doch irgendwie in den Apache-Server-Logs sehen? Ist natürlich nicht ganz leicht, weil nicht alle Weichwaren die HTTP-Status-Codes einhalten. Aber im Weichwaren-Protokoll müsste es noch auftauchen. Da geben die ich auch gar nicht erst Mühe. Die scheinen zu wissen, dass man bei knackbaren HTTP-Zugängen sowieso nix holen kann.</p> <p>Spirituelle Grüße<br> Euer Robert</p> <div class="signature">-- <br> Möge der wahre Forumsgeist ewig leben! </div> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635741#m1635741 Jnnbo 2015-03-28T19:41:24Z 2015-03-28T19:41:24Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Hallo Rober,</p> <blockquote> <p>Wie versprochen, noch eine Adresse. <a href="http://http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">IP-Rechner von Heise</a></p> </blockquote> <p>kleine Verbesserung <a href="http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">http://www.heise.de/netze/tools/netzwerkrechner/</a> in deinem Link fehlen die ":"</p> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635744#m1635744 robertroth robert.r@online.de 2015-03-28T20:06:29Z 2015-03-28T20:06:29Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Liebe Mitdenker, liebe Wissende, liebe Neugierige,</p> <p>ja!</p> <blockquote> <blockquote> <p>Wie versprochen, noch eine Adresse. <a href="http://http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">IP-Rechner von Heise</a></p> </blockquote> </blockquote> <blockquote> <p>kleine Verbesserung <a href="http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">http://www.heise.de/netze/tools/netzwerkrechner/</a> in deinem Link fehlen die ":"</p> </blockquote> <p>Danke für die Korrektur.</p> <p>Diese kleine Inkontinenz rechne ich aber der neuen Forumssoftwarwe zu. Die hat nicht gemerkt, das in meinem Link ein doppeltes Scheme (http://http://) drin stand, weil ich den Link einfach nur in das Klickfenster kopuert habe.</p> <p>Wie kann ich das überigens während dem Schreiben mit der Tastatur öffnen?</p> <p>Spirituelle Grüße<br> Euer Robert</p> <div class="signature">-- <br> Möge der wahre Forumsgeist ewig leben! </div> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635745#m1635745 dedlfix 2015-03-28T20:06:44Z 2015-03-28T20:06:44Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Tach!</p> <blockquote> <blockquote> <p>Wie versprochen, noch eine Adresse. <a href="http://http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">IP-Rechner von Heise</a></p> </blockquote> <p>kleine Verbesserung <a href="http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">http://www.heise.de/netze/tools/netzwerkrechner/</a> in deinem Link fehlen die ":"</p> </blockquote> <p>Da war ein http:// zu viel. Ich habs mir erlaubt in seinem Posting zu korrigieren.</p> <p>dedlfix.</p> https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635747#m1635747 dedlfix 2015-03-28T20:12:17Z 2015-03-28T20:12:17Z iptables, Netzmaske bestimmen, Bereich aussperren <p>Tach!</p> <blockquote> <p>Wie kann ich das überigens während dem Schreiben mit der Tastatur öffnen?</p> </blockquote> <p>Erst Taste [ dann den Linktext tippen, dann ] und ( und nun den Link einfügen, zum Abschluss )</p> <p>War doch gar nicht schwer, oder? ;)</p> <p>Alternativ kannst du auch deine browserspezifische Hotkey-Taste und L drücken. Welches diese Hotkeytaste(nkombination) ist? Das ist je nach Browser und Betriebssystem unterschiedlich.</p> <p>dedlfix.</p>