GeoIP Blocking an Orange

Post Reply
Hellfire
Posts: 697
Joined: November 8th, 2015, 8:54 am

GeoIP Blocking an Orange

Post by Hellfire » August 14th, 2019, 9:32 am

Hi,

Vorneweg, meine FW Einstellung ist auf Outgoing Blocked, sollte aber für das Nachfolgende keine Rollen spielen, oder doch?

Ich habe GeoIP Blocking für alle Länder ausser DE aktiv, dies über die Möglichkeiten im WebIF.
Zudem ist an der orangen Schnittstelle ein Server angeschlossen, für den ich jetzt ebenfalls ein GeoIP Blocking aktivieren möchte.

Eine bereits erstellte FW-Regel mit Source: GeoIP und Destination: Standard Networks: Orange für alle Protokolle, funktioniert nicht. Zumindest wenn ich dem Firewall Log glauben darf, welches ich über die genannte Regel erstellen lasse.

Ich weiß, dass Orange im öffentlichen Raum liegt, bedeutet das, dass die FW außen vor ist im Falle des GeoIP? Ganz jedenfalls ist die FW nicht überflüssig, da ich bereits von Red nach Orange die ein oder andere Regel erstellen musste.

Grüße,
Michael
Image

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8518
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: GeoIP Blocking an Orange

Post by Arne.F » August 15th, 2019, 1:59 pm

Wenn du das Geo-IP Block im WebIF für ein Land eingeschaltet hast machen zusätzliche GeoIP-Firewall Regeln für dieses Land keinen Sinn mehr. Alles was auf Rot reinkommt und auf das WebIF GeoIP matcht wird noch vor der vom User konfigurierbaren Firewall weggeschmissen, daher wird nichts mehr geloggt.

Wenn man feinere Optionen braucht wie bestimmte Dienste zulassen und andere sperren muss man dieses Land in der GeoIP Hauptseite erstmal erlauben und später erst filtern, daher gibt es die GeoIP Option auch in den Firewall Regeln.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

Hellfire
Posts: 697
Joined: November 8th, 2015, 8:54 am

Re: GeoIP Blocking an Orange

Post by Hellfire » August 15th, 2019, 2:12 pm

Verstanden, nur dann Frage ich mich, warum ich trotzdem dieses Logs hier im FW-Protokoll habe, wenn alle Länder außer DE über GeoIP blockiert wurden. Mache hier mir womöglich wieder ein Tor auf?
FW-Logs.png
Diese Stammen von der zweiten Regel, hier:
FW Regeln.png
FW Regeln.png (9.02 KiB) Viewed 267 times
Ich habe an Orange einen Server dran, den ich ohne die Regel #2 nicht erreichen kann. Firewall Policy Outgoing ist auf Blocked, aber das sollte hier eigentlich keine Rolle spielen. Regel #1 ist hier schon eher notwendig...


Michael
Image

User avatar
Arne.F
Core Developer
Core Developer
Posts: 8518
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: GeoIP Blocking an Orange

Post by Arne.F » August 15th, 2019, 5:40 pm

Check mal die Details zu den IP's, Die Datenbank für die Fahnen (GeoIP v1) ist leider sehr alt und wird nicht mehr geupdated. Für den Block selbst nimmt er Aktuelle GeoIP v2 Daten nur die kann man in perl nicht in brauchbarer Zeit durchsuchen ohne das WebIF umzubauen.
Arne

Support the project on the donation!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

Hellfire
Posts: 697
Joined: November 8th, 2015, 8:54 am

Re: GeoIP Blocking an Orange

Post by Hellfire » August 16th, 2019, 8:30 am

Hat alles seine Richtigkeit, die Länder-Bildchen passen zu den IPs bzw. den TLDs dahinter.
Image

fredym
Posts: 535
Joined: November 14th, 2016, 2:45 pm

Re: GeoIP Blocking an Orange

Post by fredym » August 16th, 2019, 7:30 pm

Hellfire wrote:
August 15th, 2019, 2:12 pm
Verstanden, nur dann Frage ich mich, warum ich trotzdem dieses Logs hier im FW-Protokoll habe, wenn alle Länder außer DE über GeoIP blockiert wurden. Mache hier mir womöglich wieder ein Tor auf?

FW-Logs.png

Diese Stammen von der zweiten Regel, hier:
FW Regeln.png

Ich habe an Orange einen Server dran, den ich ohne die Regel #2 nicht erreichen kann. Firewall Policy Outgoing ist auf Blocked, aber das sollte hier eigentlich keine Rolle spielen. Regel #1 ist hier schon eher notwendig...


Michael
Sicher ? willst kein dediziertes Portforwarding von ROT:80 auf ORANGESERVER:80 machen !?
Alles (!) weiterschicken hat das Problem, daß du da dann nochmal Firewallfiltern solltest (bzw. sicherstellen dass der Raspi-Server nur die gewünschten Dienste kann. Portfoward hat den Vorteil, daß du von GREEN mehr machen kannst als von außen zugänglicht ist ( ssh ?).
Aber letztlich dein Problem... (ach ja ..und andere können auch SNAT auf DE-IPs.. geht schon ;-) )
Machbar ist viles .. aber wer eben 65000 Ports durchwirft...muß mit den Erfogen leben :-)


Fred
ps: sicher betreibst du in ORANGE nur gut gehärtete Server.

Post Reply