iptables, Netzmaske bestimmen, Bereich aussperren – SELFHTML-Forum Forum als Ergänzung zum SELFHTML-Wiki und zur Dokumentation SELFHTML https://forum.selfhtml.org/self iptables, Netzmaske bestimmen, Bereich aussperren Fri, 27 Mar 15 10:42:57 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635600#m1635600 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635600#m1635600 <p>Liebe Mitdenker, liebe Wissende, liebe Neugierige,</p> <p>ja!</p> <p>Wie müssten die passende Netzdefintion und Netzmaske (für iptables) heißen, damit der Bereich</p> <pre><code class="block">218.64.0.0 - 218.65.127.255 </code></pre> <p>draußen bleibt?</p> <p>Zur Not zwei Einträge für 218.64.0.0/16 und die zweite... Liege ich da mit 218.65.0.0/17 richtig?</p> <p>Spirituelle Grüße<br> Euer Robert</p> <div class="signature">-- <br> Möge der wahre Forumsgeist ewig leben! </div> iptables, Netzmaske bestimmen, Bereich aussperren Fri, 27 Mar 15 11:26:54 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635608#m1635608 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635608#m1635608 <p>Tach!</p> <blockquote> <p>Wie müssten die passende Netzdefintion und Netzmaske (für iptables) heißen, damit der Bereich 218.64.0.0 - 218.65.127.255 draußen bleibt?</p> <p>Zur Not zwei Einträge für 218.64.0.0/16 und die zweite... Liege ich da mit 218.65.0.0/17 richtig?</p> </blockquote> <p>Ja. Es gibt IP-Rechner im Netz. Einer davon hat mir das so bestätigt. 218.64.0.0/15 wäre zu viel, das ginge bis 218.65.255.255.</p> <p>dedlfix.</p> iptables, Netzmaske bestimmen, Bereich aussperren Fri, 27 Mar 15 14:42:45 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635641#m1635641 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635641#m1635641 <p>Moin!</p> <blockquote> <pre><code class="block">218.64.0.0 - 218.65.127.255 </code></pre> <p>draußen bleibt?</p> </blockquote> <p>Ich habe nachgeschaut.</p> <pre><code class="block">whois 218.64.0.0 liefert: inetnum: 218.64.0.0 - 218.65.127.255 netname: CHINANET-JX country: CN descr: CHINANET jiangxi province network descr: China Telecom descr: No.31,jingrong street descr: Beijing 100032 admin-c: CH93-AP tech-c: JN113-AP changed: hostmaster@cn.net 20020829 mnt-by: MAINT-CHINANET mnt-lower: MAINT-IP-WWF status: ALLOCATED NON-PORTABLE source: APNIC whois 218.65.128.1 liefert: inetnum: 218.65.128.0 - 218.65.255.255 netname: CHINANET-GX descr: CHINANET Guangxi province network descr: China Telecom descr: A12,Xin-Jie-Kou-Wai Street descr: Beijing 100088 country: CN admin-c: CH93-AP tech-c: CR766-AP mnt-by: MAINT-CHINANET mnt-lower: MAINT-CHINANET-GX changed: hostmaster@ns.chinanet.cn.net 20010731 status: ALLOCATED NON-PORTABLE source: APNIC </code></pre> <p>Damit kannst Du beide in einem Abwasch sperren. Blockiere 218.64.0.0/15 und gut ist es.</p> <p>Jörg Reinholz</p> iptables, Netzmaske bestimmen, Bereich aussperren Sat, 28 Mar 15 19:20:15 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635738#m1635738 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635738#m1635738 <p>Liebe Mitdenker, liebe Wissende, liebe Neugierige,</p> <p>ja!</p> <p>Wie versprochen, noch eine Adresse. <a href="http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">IP-Rechner von Heise</a></p> <p>Der gefällt mir sehr gut.</p> <p>Spirituelle Grüße<br> Euer Robert</p> <div class="signature">-- <br> Möge der wahre Forumsgeist ewig leben! </div> iptables, Netzmaske bestimmen, Bereich aussperren Fri, 27 Mar 15 12:56:40 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635620#m1635620 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635620#m1635620 <p>Liebe Mitdenker, liebe Wissende, liebe Neugierige,</p> <p>ja!</p> <blockquote> <blockquote> <p>Wie müssten die passende Netzdefintion und Netzmaske (für iptables) heißen, damit der Bereich 218.64.0.0 - 218.65.127.255 draußen bleibt?</p> <p>Zur Not zwei Einträge für 218.64.0.0/16 und die zweite... Liege ich da mit 218.65.0.0/17 richtig?</p> </blockquote> <p>Ja. Es gibt IP-Rechner im Netz. Einer davon hat mir das so bestätigt. 218.64.0.0/15 wäre zu viel, das ginge bis 218.65.255.255.</p> </blockquote> <p>Erstmal Dank. :-)</p> <p>Du hättest von dem IP-Rechner hier einen Link hinterlassen können für die Nachwelt. Ich such jetzt nochmal und wenn ich einen finde, dann versuch ich ich das mit dem Link. Ist ja alles anders inzwischen :-O</p> <p>Spirituelle Grüße<br> Euer Robert</p> <div class="signature">-- <br> Möge der wahre Forumsgeist ewig leben! </div> iptables, Netzmaske bestimmen, Bereich aussperren Fri, 27 Mar 15 13:42:19 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635624#m1635624 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635624#m1635624 <p>Tach!</p> <blockquote> <p>Du hättest von dem IP-Rechner hier einen Link hinterlassen können für die Nachwelt.</p> </blockquote> <p>„ip calculator“ und der Google spuckte mir als ersten <a href="http://jodies.de/ipcalc" rel="nofollow noopener noreferrer">den da</a> aus. Es gibt auch noch kompfortablere, aber der hat in dem Fall gereicht, um mit einer Adresse und dem Durchprobieren von Netzmasken die Antwort zu finden.</p> <p>dedlfix.</p> iptables, Netzmaske bestimmen, Bereich aussperren Fri, 27 Mar 15 15:53:33 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635656#m1635656 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635656#m1635656 <p>Liebe Mitdenker, liebe Wissende, liebe Neugierige,</p> <p>ja!</p> <blockquote> <p>Moin!</p> <blockquote> <pre><code class="block">218.64.0.0 - 218.65.127.255 </code></pre> <p>draußen bleibt?</p> </blockquote> <p>Ich habe nachgeschaut.</p> <pre><code class="block">whois 218.64.0.0 liefert: inetnum: 218.64.0.0 - 218.65.127.255 netname: CHINANET-JX country: CN descr: CHINANET jiangxi province network descr: China Telecom descr: No.31,jingrong street descr: Beijing 100032 admin-c: CH93-AP tech-c: JN113-AP changed: hostmaster@cn.net 20020829 mnt-by: MAINT-CHINANET mnt-lower: MAINT-IP-WWF status: ALLOCATED NON-PORTABLE source: APNIC whois 218.65.128.1 liefert: inetnum: 218.65.128.0 - 218.65.255.255 netname: CHINANET-GX descr: CHINANET Guangxi province network descr: China Telecom descr: A12,Xin-Jie-Kou-Wai Street descr: Beijing 100088 country: CN admin-c: CH93-AP tech-c: CR766-AP mnt-by: MAINT-CHINANET mnt-lower: MAINT-CHINANET-GX changed: hostmaster@ns.chinanet.cn.net 20010731 status: ALLOCATED NON-PORTABLE source: APNIC </code></pre> <p>Damit kannst Du beide in einem Abwasch sperren. Blockiere 218.64.0.0/15 und gut ist es.</p> </blockquote> <p>Aus dem zweiten Netz sind aber bisher keine unerwünschten Zugriffe gekommen. Sind ja wohl offizielle auch zwei verschiedene Inhaber.</p> <p>Ich kann ja nicht den ganzen Chinahandel aussperren. Allerdings könnten wir auch eine Exception-List aufbauen für die 15-20 Unternehmen, mit denen Kontakte bestehen. Die haben bisher unter ihrer eigenen IP auch noch nie Schindluder getrieben.</p> <p>Im Rahmen der ganzen "wer verarscht wen im Internet"-Diskussion fragt man sich aber inzwischen überhaupt, ob man nicht zu "Wer liefert was" in Buchform, Schreibmaschine, Kopieretiketten, und anständigen Drucksachen zurückkehren sollte? Früher galt, wer sich eintragen läst (für viel Geld) meint es auch ernst und ist nicht morgen schon wieder verschwunden.</p> <p>Spirituelle Grüße<br> Euer Robert</p> <div class="signature">-- <br> Möge der wahre Forumsgeist ewig leben! </div> iptables, Netzmaske bestimmen, Bereich aussperren Fri, 27 Mar 15 16:10:48 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635657#m1635657 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635657#m1635657 <p>Hallo</p> <pre><code class="block">whois 218.64.0.0 liefert: inetnum: 218.64.0.0 - 218.65.127.255 netname: CHINANET-JX country: CN descr: CHINANET jiangxi province network descr: China Telecom descr: No.31,jingrong street descr: Beijing 100032 whois 218.65.128.1 liefert: inetnum: 218.65.128.0 - 218.65.255.255 netname: CHINANET-GX descr: CHINANET Guangxi province network descr: China Telecom descr: A12,Xin-Jie-Kou-Wai Street descr: Beijing 100088 country: CN </code></pre> <blockquote> <p>Aus dem zweiten Netz sind aber bisher keine unerwünschten Zugriffe gekommen. Sind ja wohl offizielle auch zwei verschiedene Inhaber.</p> </blockquote> <p>Sieht mir eher nach verschiedenen Instanzen einer Firma aus, die für verschiedene Provinzen zuständig sind.</p> <p>Was mir noch durch den Kopf geht, sind Dienste, wie <a href="http://www.stopforumspam.com/" rel="nofollow noopener noreferrer">Stop Forum Spam</a> und <a href="https://www.google.de/search?&hl=de&q=spam+prevention+services" rel="nofollow noopener noreferrer">ähnliche Dienste</a>, bei denen man Anfragen über eine API auf Spamverdacht prüfen lassen kann.</p> <p>Tschö, Auge</p> <div class="signature">-- <br> Verschiedene Glocken läuteten in der Stadt, und jede von ihnen vertrat eine ganz persönliche Meinung darüber, wann es Mitternacht war. Terry Pratchett, “Wachen! Wachen! </div> iptables, Netzmaske bestimmen, Bereich aussperren Fri, 27 Mar 15 18:43:58 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635674#m1635674 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635674#m1635674 <p>Moin!</p> <blockquote> <blockquote> <p>Damit kannst Du beide in einem Abwasch sperren. Blockiere 218.64.0.0/15 und gut ist es.</p> </blockquote> </blockquote> <blockquote> <p>Ich kann ja nicht den ganzen Chinahandel aussperren.</p> </blockquote> <p>Aha. Es gibt die Möglichkeit, dass aus China legale Zugriffe kommen. Warum kommunizierst Du das nicht?</p> <blockquote> <p>Allerdings könnten wir auch eine Exception-List aufbauen für die 15-20 Unternehmen, mit denen Kontakte bestehen. Die haben bisher unter ihrer eigenen IP auch noch nie Schindluder getrieben.</p> </blockquote> <p>Und wie wollt Ihr an neue Kunden, Lieferanten oder Kontakte in China kommen?</p> <blockquote> <p>Im Rahmen der ganzen "wer verarscht wen im Internet"-Diskussion</p> </blockquote> <p>Dann lass es zunächst bei dem, was fail2ban macht, verbinde das mit einem Monitoring der Systeme. Menschliche Intelligenz ist auch in der IT immer noch unersetzbar.</p> <p>Jörg Reinholz</p> iptables, Netzmaske bestimmen, Bereich aussperren Fri, 27 Mar 15 18:49:41 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635676#m1635676 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635676#m1635676 <p>Moin!</p> <p>(Ich:)</p> <blockquote> <p>Aha. Es gibt die Möglichkeit, dass aus China legale Zugriffe kommen. Warum kommunizierst Du das nicht? ... Dann lass es zunächst bei dem, was fail2ban macht, verbinde das mit einem Monitoring der Systeme. Menschliche Intelligenz ist auch in der IT immer noch unersetzbar.</p> </blockquote> <p>Das sind beides ISP bzw. sogar die Töchter des selben ISP. Da kannst Du in Deiner Situation überhaupt nicht das ganze Netz sperren, sondern nur die Hosts und auch das nur zeitlich begrenzt.</p> <p>Darüber hinaus wäre die Frage zu stellen, was denn für Dienste auf dem Server angegriffen werden und was für Dienste eigentlich öffentlich angeboten werden. Ist das z.B. ein Webserver und wird der SSH angegriffen, dann sperre nur den SSH-Port. Oder verlege ihn vorher erst mal probeweise.</p> <p>Jörg Reinholz</p> iptables, Netzmaske bestimmen, Bereich aussperren Fri, 27 Mar 15 19:09:43 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635679#m1635679 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635679#m1635679 <p>Liebe Mitdenker, liebe Wissende, liebe Neugierige,</p> <p>ja!</p> <blockquote> <blockquote> <p>Aha. Es gibt die Möglichkeit, dass aus China legale Zugriffe kommen. Warum kommunizierst Du das nicht?</p> </blockquote> </blockquote> <p>Sollte man doch annehmen, bei der Größe Chinas, oder? Auch aus der Ukraine, aus der Türkei, usw. kommen legale Zugriffe. Die kommen auch über ISPs bzw. Access-Provider für DSL. Jaaaa, die haben da auch schon sowas. Und sogar oft auf dem Land schon mit einer Geschwindigkeit, von der wir noch in der Stadt träumen. ;-)</p> <blockquote> <blockquote> <p>Dann lass es zunächst bei dem, was fail2ban macht, verbinde das mit einem Monitoring der Systeme. Menschliche Intelligenz ist auch in der IT immer noch unersetzbar.</p> </blockquote> </blockquote> <p>Ich lasse fail2ban laufen, lasse jede Stunde einen Cronjob das Log auswerten und bei Häufung von temporäten Aussperrungen einer IP eine Warnung absetzen. Die Warnungen sehe ich regelmäßig an und wenn die alle zu einem Netz gehören, wird das ganze Netz gesperrt, wenn es nich zu groß ist und keine IP davon auf meiner Whitelist steht (habe ich jetzt erst angefangen, ist auch nicht so ganz einfach).</p> <blockquote> <p>Das sind beides ISP bzw. sogar die Töchter des selben ISP. Da kannst Du in Deiner Situation überhaupt nicht das ganze Netz sperren, sondern nur die Hosts und auch das nur zeitlich begrenzt.</p> <p>Darüber hinaus wäre die Frage zu stellen, was denn für Dienste auf dem Server angegriffen werden und was für Dienste eigentlich öffentlich angeboten werden. Ist das z.B. ein Webserver und wird der SSH angegriffen, dann sperre nur den SSH-Port. Oder verlege ihn vorher erst mal probeweise.</p> </blockquote> <p>Angegriffen wird üblicherweise SSH, Mail und FTP (da läuft aber nur ein Fake). Dann gibt es noch einen DBMS-Port mit TLS-Hülle (eine Art VPN), der wird aber nur selten getroffen und außerdem ist das interne Protokoll proprietär. Bisher hat es keinen fremden Loginversuch gegeben.</p> <p>HTTP-Verusche müsste ich doch irgendwie in den Apache-Server-Logs sehen? Ist natürlich nicht ganz leicht, weil nicht alle Weichwaren die HTTP-Status-Codes einhalten. Aber im Weichwaren-Protokoll müsste es noch auftauchen. Da geben die ich auch gar nicht erst Mühe. Die scheinen zu wissen, dass man bei knackbaren HTTP-Zugängen sowieso nix holen kann.</p> <p>Spirituelle Grüße<br> Euer Robert</p> <div class="signature">-- <br> Möge der wahre Forumsgeist ewig leben! </div> iptables, Netzmaske bestimmen, Bereich aussperren Sat, 28 Mar 15 19:41:24 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635741#m1635741 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635741#m1635741 <p>Hallo Rober,</p> <blockquote> <p>Wie versprochen, noch eine Adresse. <a href="http://http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">IP-Rechner von Heise</a></p> </blockquote> <p>kleine Verbesserung <a href="http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">http://www.heise.de/netze/tools/netzwerkrechner/</a> in deinem Link fehlen die ":"</p> iptables, Netzmaske bestimmen, Bereich aussperren Sat, 28 Mar 15 20:06:29 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635744#m1635744 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635744#m1635744 <p>Liebe Mitdenker, liebe Wissende, liebe Neugierige,</p> <p>ja!</p> <blockquote> <blockquote> <p>Wie versprochen, noch eine Adresse. <a href="http://http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">IP-Rechner von Heise</a></p> </blockquote> </blockquote> <blockquote> <p>kleine Verbesserung <a href="http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">http://www.heise.de/netze/tools/netzwerkrechner/</a> in deinem Link fehlen die ":"</p> </blockquote> <p>Danke für die Korrektur.</p> <p>Diese kleine Inkontinenz rechne ich aber der neuen Forumssoftwarwe zu. Die hat nicht gemerkt, das in meinem Link ein doppeltes Scheme (http://http://) drin stand, weil ich den Link einfach nur in das Klickfenster kopuert habe.</p> <p>Wie kann ich das überigens während dem Schreiben mit der Tastatur öffnen?</p> <p>Spirituelle Grüße<br> Euer Robert</p> <div class="signature">-- <br> Möge der wahre Forumsgeist ewig leben! </div> iptables, Netzmaske bestimmen, Bereich aussperren Sat, 28 Mar 15 20:06:44 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635745#m1635745 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635745#m1635745 <p>Tach!</p> <blockquote> <blockquote> <p>Wie versprochen, noch eine Adresse. <a href="http://http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">IP-Rechner von Heise</a></p> </blockquote> <p>kleine Verbesserung <a href="http://www.heise.de/netze/tools/netzwerkrechner/" rel="nofollow noopener noreferrer">http://www.heise.de/netze/tools/netzwerkrechner/</a> in deinem Link fehlen die ":"</p> </blockquote> <p>Da war ein http:// zu viel. Ich habs mir erlaubt in seinem Posting zu korrigieren.</p> <p>dedlfix.</p> iptables, Netzmaske bestimmen, Bereich aussperren Sat, 28 Mar 15 20:12:17 Z https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635747#m1635747 https://forum.selfhtml.org/self/2015/mar/27/iptables-netzmaske-bestimmen-bereich-aussperren/1635747#m1635747 <p>Tach!</p> <blockquote> <p>Wie kann ich das überigens während dem Schreiben mit der Tastatur öffnen?</p> </blockquote> <p>Erst Taste [ dann den Linktext tippen, dann ] und ( und nun den Link einfügen, zum Abschluss )</p> <p>War doch gar nicht schwer, oder? ;)</p> <p>Alternativ kannst du auch deine browserspezifische Hotkey-Taste und L drücken. Welches diese Hotkeytaste(nkombination) ist? Das ist je nach Browser und Betriebssystem unterschiedlich.</p> <p>dedlfix.</p>