GeoIP: Zugriff auf 443 nur für Deutschland funktioniert nicht

Tripwire, Guardian, Snort, Squidclamav
Post Reply
spock_sap
Posts: 4
Joined: June 24th, 2015, 1:22 pm

GeoIP: Zugriff auf 443 nur für Deutschland funktioniert nicht

Post by spock_sap » June 24th, 2015, 2:05 pm

Hallo,

ich bin neu im Forum und habe mir bereits vor einigen Wochen eine kleine Firewall gebaut:
basierend auf einem Supermicro Mainboard A1SRi-2558F (Atom C2558 4 core 2.4GHz) mit 8GB RAM und einer kleinen SSD im MiniGehäuse.

Mit der Hardware bin ich sehr zufrieden, lautlos, schnell. Stromverbrauch ca. 14Watt.

Mit der ipfire Konfiguration kämpfe ich allerdings noch etwas.

Hier eine kurze Beschreibung des Setup:

Grün/Blau/Rot/Orange konfiguriert, allerdings derzeit nur Rot/Grün in Betrieb.
Grün: 192.168.24.0/24; ipfire auf ...1
Rot: 192.168.25.0/24; ipfire auf ...1

An Rot hängt ein Speedport Router 192.168.25.2
Dort habe ich eine Portweiterleitung definiert
Port 25: Weiterleitung auf 192.168.25.1:25 (ipfire)
Port 443: Weiterleitung auf 192.168.25.1:443 (ipfire)
Port 465: Weiterleitung auf 192.168.25.1:465 (ipfire)

Auf dem IPfire habe ich dann die Ports nach Grün zum Mailserver / Webserver weitergeleitet.

Also
Internet - Speedport Router:443/25 (rot) --> ipfire (rot) --> Webserver:443/25

rules1.PNG

regel2.PNG


Diese Konfiguiration funktioniert, d.h. die Verbindungen vom Internet zum Mail/Webserver funktionieren.

(1) Verständnisfrage:
Warum kann ich nicht von 192.168.25.1:25 auf 192.168.24.3:25 weiterleiten? Sämtliche Versuche, so etwas einzustellen, funktionierten nicht - Pakete wurden gedropped.

(2) GeoIP
Ich möchte jetzt den Zugriff auf port 443 vom Internet auf bestimmte Länder begrenzen.

regel_geoip.PNG

regel_geoip_countries.PNG
regel_geoip_countries.PNG (4.82 KiB) Viewed 818 times


Leider ist die Einstellung ohne Wirkung, die logfiles sagen, daß weiterhin alle Länder durch die Firewall auf Port 443 weitergeleitet werden.

Wie kann ich Port 443 auf bspw. Deutschland begrenzen?

Vielen Dank für eure Hilfe & für das tolle Produkt. Respekt!

User avatar
copymaster
Core Developer
Core Developer
Posts: 900
Joined: August 7th, 2012, 6:02 am

Re: GeoIP: Zugriff auf 443 nur für Deutschland funktioniert nicht

Post by copymaster » July 23rd, 2015, 6:39 pm

1.) Zur Verständnisfrage:
Du hast doch eine Weiterleitung genau so eingerichtet?! DNAT ist eine Weiterleitung.

2.) Erstelle Dir eine Firewall regel wie folgt:

Quelle: GeoIP-> DE - germany
Ziel : Firewall (ROT)

Damit ist der Zugriff von allen Deutschen IP'S auf den IPFire erlaubt.

armbrust
Posts: 316
Joined: November 16th, 2009, 2:16 pm
Location: Kassel

Re: GeoIP: Zugriff auf 443 nur für Deutschland funktioniert nicht

Post by armbrust » July 28th, 2015, 5:52 am

Es gibt ja zwei verschiedene Wege GeoIP einzustellen.
Einmal der globale Weg über Firewall --> GeoIP BLock,
oder über die FIrewallregeln Firefall --> Firewallregeln --> Neue Regel.

Wie arbeitet die Globale Regel? Kann ich über die Globale bis auf der EU und einige wenige ausnamen alles Blocken, aber bei den einzelnen Regeln für Port 25 wiederum alle Länder öffnen? Da ich ja nicht immer jede Länderkennung der einzelnen Kunden, oder vor allen Neukunden, kenne?


Gruß Armbrust

User avatar
copymaster
Core Developer
Core Developer
Posts: 900
Joined: August 7th, 2012, 6:02 am

Re: GeoIP: Zugriff auf 443 nur für Deutschland funktioniert nicht

Post by copymaster » July 28th, 2015, 6:52 am

Nein das geht leider nicht.
Die globalen Einstellungen greifen BEVOR die einzelnen Firewallregeln angewendet werden.
Und es ist so, dass die erste Regel, die zutrifft, greift, dann werden andere Regeln nicht mehr beachtet.

Das bedeutet, du kannst zwar in den globalen GeoIP Regeln viele Länder blockieren (z.B. alles was nicht USA,England oder Deutschland ist) und dann die "Feinregulierungen" über einzelne Firewallregeln machen.

In diesem Fall würde alles von England und USA erlaubt sein, wenn Du nun in den einzelnen Firewallregeln etwas einstellst wie GeoIP USA nur Port 25,110,993,143 (Mail) Dann werden halt nur USA Maildienste erlaubt

armbrust
Posts: 316
Joined: November 16th, 2009, 2:16 pm
Location: Kassel

Re: GeoIP: Zugriff auf 443 nur für Deutschland funktioniert nicht

Post by armbrust » July 28th, 2015, 7:00 am

Schade, wobei das doch eigentlich eine Sinnvolle Sache wäre oder?
Den Mailer sollten ja ggf. schon alle Kunden von überall erreichen, aber bei all den anderen Ports ist eine engere Eingrenzung ja schon sinnvoller.

variousos
Posts: 99
Joined: January 21st, 2015, 7:43 am

Re: GeoIP: Zugriff auf 443 nur für Deutschland funktioniert nicht

Post by variousos » February 19th, 2016, 12:19 pm

Hallo liebe Leute,

ich habe mir diesen Thread mal durch gelesen. Heißt das, dass wenn ich wegen dem ganzen Mist (verschlüsselte Laufwerke etc) Z.B nur Mails aus Deutschland zulassen will, ich das auch als Regel konfigurieren kann? Wäre das sinnvoll und...wie sähe die Regel dann aus?

DANKE EUCH

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest