Hallo!
Ich möchte auf meinem Ubuntu Server alle eingehenden Anfragen auf Port 53 blockieren, ausgenommen die Anfrage kommt von einem Hostnamen der das Schema "*.wireless.dyn.drei.com" hat (z.B. 77.119.131.144.wireless.dyn.drei.com).
LG Philipp
Anmeldungsdatum: Beiträge: 11 |
Hallo! Ich möchte auf meinem Ubuntu Server alle eingehenden Anfragen auf Port 53 blockieren, ausgenommen die Anfrage kommt von einem Hostnamen der das Schema "*.wireless.dyn.drei.com" hat (z.B. 77.119.131.144.wireless.dyn.drei.com). LG Philipp |
Anmeldungsdatum: Beiträge: 13938 |
Versuch mit: sudo iptables -I INPUT 1 -p udp -i <input-Interface> --dport 53 ! -s 77.119.131.144 -j REJECT EDIT: Wenn Du mehrere erlaubte source-IP-Adressen hast, dann mit ipset. |
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 8627 Wohnort: Münster |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 11 |
Ich kann eben keine IP-Adresse blockieren, da ich diese ja nicht kenne. "77.119.131.144" ist nur ein Beispiel für tausende IPs die zugelassen sein sollen. Und die IP-Range von wireless.dyn.drei.com kenne ich nicht. EDIT: "*.wireless.dyn.drei.com" ist der Pool für alle dynamischen IP-Adressen die den Internet-Cubes vom LTE-Netzbetreiber Hutchison Drei Austria zugewiesen werden. Das Äquivalent der Telekom wäre z.B. *.highway.telekom.at" |
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 8627 Wohnort: Münster |
Und schon haben wir eine ganz andere Aufgabenstellung als vermutet … Ist wenigstens Dein Beispiel "77.119.131.144" echt, d.h. stammt diese IP aus dem zulässigen Netz? Wenn dem so ist, kannst Du das gesamte Netz über eine whois-Abfrage erhalten. Diese liefert bei mir whois 77.119.131.144 % This is the RIPE Database query service. […] inetnum: 77.119.0.0 - 77.119.255.255 netname: H3G-CUSTOMERS-NET […] Demnach wäre dann 77.119.0.0/16 ein erster Ansatz, möglicherweise aber zu groß. EDIT: Ich sollte den RIPE-Bericht zu Ende lesen, ganz unten findet man dann noch die vielversprechende Route 77.119.128.0/21 im AS25255! |
(Themenstarter)
Anmeldungsdatum: Beiträge: 11 |
Ja diese IP stammt aus dem Pool. Der Pool besteht aber aus sehr vielen unterschiedlichen Netzen. "91.141.3.213" wäre ein andere Beispiel das wohl zu inetnum: 91.141.0.0 - 91.141.63.255 netname: AT-ONE-POOL1 gehört. Und von diesen Ranges gibt es eine ganze Menge und ein einzelnes Endgerät bekommt seine dynamische IP jedes mal aus einer unterschiedlichen Range. |
Anmeldungsdatum: Beiträge: 13938 |
BTW: Die Abfrage von "host -t A 77.119.131.144.wireless.dyn.drei.com", hat bei mir erzeugt „77.119.131.144“. :~$ host -t A 77.119.131.144.wireless.dyn.drei.com 77.119.131.144.wireless.dyn.drei.com has address 77.119.131.144
:~$ dig -x 77.119.131.144 +short 77.119.131.144.wireless.dyn.drei.com. Deshalb meine Empfehlung. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 11 |
Problem ist nach wie vor, dass vor .wireless.dyn.drei.com mehrere zehntausend verschiedene IPs stehen können die nicht innerhalb der selben Range liegen. Drei hat sehr viele Ranges die mir nicht alle bekannt sind. Daher sinnlos Ranges freizugeben, da ich nicht alle erwischen würde und dann IPs geblockt werden würden, die nicht geblockt sein dürfen. |
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 8627 Wohnort: Münster |
|
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 8627 Wohnort: Münster |
Funktional, aber mit grausig schlechter Performanz, könnte diese Idee helfen:
(Wenn man sich unglücklich machen will, vergibt man diese Aufgabe an einen Praktikanten oder als Abschlussarbeit.) |
Moderator, Webteam
Anmeldungsdatum: Beiträge: 5349 |
Ich habe die Diskussion rund um DROP vs. REJECT abgetrennt nach iptables: DROP vs. REJECT im Forum zur fortgeschrittenen Netzwerkkonfiguration, beginnend mit dem ersten Beitrag, der sich ausschliesslich diesem Thema widmet. |
(Themenstarter)
Anmeldungsdatum: Beiträge: 11 |
Gibt es auch eine Dokumentation wie man in einem eigenen Programm auf die NFQUEUE zugreift? Ich finde nämlich nur nutzlose und unverständliche Anleitungen. |
Supporter, Wikiteam
Anmeldungsdatum: Beiträge: 8627 Wohnort: Münster |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 11 |
Ich habe einen anderen Weg gefunden. In der /etc/hosts.deny habe ich "dnsmasq: ALL EXCEPT .wireless.dyn.drei.com" eingetragen. Bei meinen Tests hat es funktioniert, die Funktion im Echtbetrieb wird sich im Laufe der nächsten Tage zeigen. |