Hi,
ich habe mal eine Frage zum Grundverständnis des Blocking auf dem WAN Port.
Wenn ich bei der Firewall > Rules > WAN 'keine' Regel drin habe (oder evtl. nur 1-2 einfache kleine Regeln - z.B. Zugriff auf Client XY über Port XY) warum wird oft empfohlen, davor noch eine GeoIP Block Regel o.ä. zu stellen die dann das ganze Netz blockt (je nach Ländern die man wählt)?
Macht es da nicht mehr Sinn, wenn man gewisse IPs im Netz (die die man auch freigibt nur schützt)?
Sprich wenn 192.168.100.20 mit Port 51820 erlaubt ist (WAN IN) dann sollte doch davor dann entspr. eben nur für die IP der GeoIP Block (wenn man ihn denn will).
Alles andere wird doch eh geblockt. Dann braucht man doch nicht GeoIP Block auf alles zu machen, oder verstehe ich da was falsch?
Dann packst du die Regeln aber jedes Mal an, wenn etwas dazu kommt... Heute ist es OpenVPN, morgen Wireguard und übermorgen noch was Neues... So ist direkt Ruhe, egal was kommt.
Und GeoIP Block hat ja den Sinn freigebene Service/Server von einem Land fernzuhalten.
Z.B. keine Anfragen aus Russland/China/Indien auf deinem Webserver zulassen. Oder anders herum alles zulassen aus Ländern die deine Seite erreichen können sollen.
Und vieleicht haben die es garnicht auf deinen Webserver abgesehen, aber sehen so das da ein potenzielles Opfer sitzt. Ausserdem ist nichst "bulletproof". Wie oft werden Sichertslücken bekannt die schon etliche jahre aktiv sind und nach Jahren erst erkannt werden. Da gibt es gerade sicher genügend die im eingeschwörenen kreis bekannt sind und genutzt werden. Und der rest der Welt das erst erfährt wenn die Patchs rauskommen.
Und wie tiermutter schon sagte, pflegts du dann immer deine Regeln nach.
Das nachpflegen muss ich auch machen da ich beruflich viel reise und nutzt VPN. Der VPN wird z.B. nur erlaubt aus Ländern die ich Besuche/Durchreise.
Bei mir sieht es wie folgt aus:
1.Block von allen Anfragen aus den nicht erlaubten Ländern
2.Block von abused IP's
3.VPN erlauben
4.Block der restlichen nicht erlaubten Länder (nur noch deutschland)
5.webserver etc. erlauben
Um meine SSL Zertifikate zu erneuern muss ich auch eine Regel enablen, da die USA anfragen prinzipiell auch geblockt werden.
Je mehr zu einpflegst und sicherst um so mehr Arbeit zieht es auch nach sich das zu pflegen.
Ist halt keine FritzBox so eine opnsense appliance.
Quote from: mrk45k on January 03, 2023, 11:36:33 AM
Ist halt keine FritzBox so eine opnsense appliance.
Dafür aber auch um einiges sicherer, sofern man es richtig macht.
Quote from: mrk45k on January 03, 2023, 11:36:33 AM
Je mehr zu einpflegst und sicherst um so mehr Arbeit zieht es auch nach sich das zu pflegen.
Leider kommt noch dazu, das GeoIP Block nicht immer einwandfrei funktioniert, weil die geographische
Zuordnung von IP's nicht immer eindeutig ist oder lange benötigt, bis es nachgezogen wurde.
Es ist ein zusätzliches Schutz aber eben keine 100% Sicherheit ( die es eh nicht gibt )