GeoIP Blocking an Orange

[Hellfire]

Hi,

Vorneweg, meine FW Einstellung ist auf Outgoing Blocked, sollte aber für das Nachfolgende keine Rollen spielen, oder doch?

Ich habe GeoIP Blocking für alle Länder ausser DE aktiv, dies über die Möglichkeiten im WebIF.
Zudem ist an der orangen Schnittstelle ein Server angeschlossen, für den ich jetzt ebenfalls ein GeoIP Blocking aktivieren möchte.

Eine bereits erstellte FW-Regel mit Source: GeoIP und Destination: Standard Networks: Orange für alle Protokolle, funktioniert nicht. Zumindest wenn ich dem Firewall Log glauben darf, welches ich über die genannte Regel erstellen lasse.

Ich weiß, dass Orange im öffentlichen Raum liegt, bedeutet das, dass die FW außen vor ist im Falle des GeoIP? Ganz jedenfalls ist die FW nicht überflüssig, da ich bereits von Red nach Orange die ein oder andere Regel erstellen musste.

Grüße,
Michael

[Arne.F]

Wenn du das Geo-IP Block im WebIF für ein Land eingeschaltet hast machen zusätzliche GeoIP-Firewall Regeln für dieses Land keinen Sinn mehr. Alles was auf Rot reinkommt und auf das WebIF GeoIP matcht wird noch vor der vom User konfigurierbaren Firewall weggeschmissen, daher wird nichts mehr geloggt.

Wenn man feinere Optionen braucht wie bestimmte Dienste zulassen und andere sperren muss man dieses Land in der GeoIP Hauptseite erstmal erlauben und später erst filtern, daher gibt es die GeoIP Option auch in den Firewall Regeln.

[Hellfire]

Verstanden, nur dann Frage ich mich, warum ich trotzdem dieses Logs hier im FW-Protokoll habe, wenn alle Länder außer DE über GeoIP blockiert wurden. Mache hier mir womöglich wieder ein Tor auf?

Diese Stammen von der zweiten Regel, hier:

FW Regeln.png (9.02 KiB) Viewed 73 times

Ich habe an Orange einen Server dran, den ich ohne die Regel #2 nicht erreichen kann. Firewall Policy Outgoing ist auf Blocked, aber das sollte hier eigentlich keine Rolle spielen. Regel #1 ist hier schon eher notwendig...


Michael

[Arne.F]

Check mal die Details zu den IP's, Die Datenbank für die Fahnen (GeoIP v1) ist leider sehr alt und wird nicht mehr geupdated. Für den Block selbst nimmt er Aktuelle GeoIP v2 Daten nur die kann man in perl nicht in brauchbarer Zeit durchsuchen ohne das WebIF umzubauen.

[Hellfire]

Hat alles seine Richtigkeit, die Länder-Bildchen passen zu den IPs bzw. den TLDs dahinter.

[fredym]

Verstanden, nur dann Frage ich mich, warum ich trotzdem dieses Logs hier im FW-Protokoll habe, wenn alle Länder außer DE über GeoIP blockiert wurden. Mache hier mir womöglich wieder ein Tor auf?

FW-Logs.png

Diese Stammen von der zweiten Regel, hier:
FW Regeln.png

Ich habe an Orange einen Server dran, den ich ohne die Regel #2 nicht erreichen kann. Firewall Policy Outgoing ist auf Blocked, aber das sollte hier eigentlich keine Rolle spielen. Regel #1 ist hier schon eher notwendig...


Michael

Sicher ? willst kein dediziertes Portforwarding von ROT:80 auf ORANGESERVER:80 machen !?
Alles (!) weiterschicken hat das Problem, daß du da dann nochmal Firewallfiltern solltest (bzw. sicherstellen dass der Raspi-Server nur die gewünschten Dienste kann. Portfoward hat den Vorteil, daß du von GREEN mehr machen kannst als von außen zugänglicht ist ( ssh ?).
Aber letztlich dein Problem... (ach ja ..und andere können auch SNAT auf DE-IPs.. geht schon ;-) )
Machbar ist viles .. aber wer eben 65000 Ports durchwirft...muß mit den Erfogen leben :-)


Fred
ps: sicher betreibst du in ORANGE nur gut gehärtete Server.