GeoIP

emmitt · June 26, 2020, 11:00:17 AM

Hallo,

ich würde gerne meine opnsense weiter absichern.

Ich habe - inspiriert von dieser Anleitung https://schulnetzkonzept.de/opnsense - einen Webproxy (shallalist) aufgesetzt und schicke dort die Devices (feste IP's bzw. statische DHCP Leases) meiner Kinder drüber. Klappt als Grundschutz recht gut. Oder gibt es dazu bessere Alternativen?

Als nächstes würde ich gerne generell das Geo-Blocking umsetzen. Ist es hier sinnvoll nur Deutschland zuzulassen?
Und wie geht das?

1. Ein Alias nur mit "Deutschland" einrichten. Das ist leicht. ;-)
2. Unter den Settings muss ich dann zwingend einen Anbieter wie Maxmind hinterlegn?
3. Wie muss die Firewall Regel aussehen

Vielen Dank für Eure Hilfe!

emmitt · June 28, 2020, 08:55:39 PM

Bin für jede Hilfestellung dankbar!

lenny · June 29, 2020, 07:23:59 AM

Verstehe ich dich richtig, dass du als Ziel "Deutschland" nutzen willst?
Wenn du nur deutsche Ziel IP Adressen zu lässt, kannst du deinen DSL Anschluss fast schon kündigen, viel Freude wirst du da nicht mehr haben.

JeGr · June 29, 2020, 03:32:53 PM

Da muss ich @lenny zustimmen, das wird wohl eher nix. Das Internet funktioniert nicht so wirklich mit Ländergrenzen, auch wenn das bei einigen Politikern und Co noch nicht wirklich angekommen ist ;)

emmitt · June 30, 2020, 09:58:44 AM

Ups, da habe ich mich wohl etwas unklar ausgedrückt! Sorry!
Das es im Internet keine klaren Ländergrenzen gibt, ist mir natürlich bewusst. :)

In erster Linie wollte ich verstehen, WIE ich das Geo-Blocking korrekt einrichte und ob ich zwingend Maxmind benötige...

Allerdings wäre ich natürlich auch für SINNVOLLE Einstellungen dankbar!

JeGr · June 30, 2020, 12:24:28 PM

> In erster Linie wollte ich verstehen, WIE ich das Geo-Blocking korrekt einrichte und ob ich zwingend Maxmind benötige...

Das war ja damit gemeint :) GeoBlocking bringt dir an der Stelle für die Kids nichts, wenn du Ihnen nicht - mal salopp gesagt - drei Viertel des Internets abklemmen willst. Dadurch, dass sehr viele Anbieter zum Verteilen des Traffics auf CDNs und Content Netzwerke setzen, die aus unterschiedlichen Ecken des Internets kommen können und sich je nach Tagesform und Auslastung ständig ändern können, kannst du einfach nicht sinnvoll für abgehenden Traffic einen GeoBlock auf "DE only" bspw. setzen. Das haut nicht hin, da wirds ganz häufig mit Youtube, Netflix, Prime Video etc. rumpeln, weil alle auf CDNs setzen, deren Endpunkte dynamisch wechseln und die dann eben auch mal in UK, FR, oder sonstwo stehen.

Genau daher setzt man in erster Konsequenz bei dem Schulkonzept ja auf entweder IDS/IPS oder/und auf Proxies, die dann an Hand der URLs oder bekannten IP Listen den Zugriff unterbinden, anstatt sich auf unscharfe Dinge wie GeoIPs zu stützen, die sich noch dazu gerne ändern können :)

emmitt · July 01, 2020, 09:29:15 AM

Ok verstanden JeGr! :)

Aber: wofür kann ich es denn sinnvoll nutzen und wie richte es für diesen sinnvollen Zweck dann ein?

micneu · July 01, 2020, 10:53:14 AM

ich persönlich finde da für mich keinen Anwendungsbereich.
Du musst doch wissen wofür du es brauchst.

Wenn du für dich keinen Grund siehst diese Funktion zu nutzen, dann benutze sie nicht.

Gesendet von iPad mit Tapatalk Pro

Evil_Sense · July 02, 2020, 02:24:43 AM

Ich verwende einen GeoIP Alias als Source für Ports die von aussen erreichbar sind (TeamSpeak, VPN usw.).
Somit sind diese zumindest "nur" aus dem entsprechenden Land erreichbar.

Gruss

Gesendet von meinem ONEPLUS A5000 mit Tapatalk

lenny · July 02, 2020, 10:03:00 AM

Quote from: Evil_Sense on July 02, 2020, 02:24:43 AM
Ich verwende einen GeoIP Alias als Source für Ports die von aussen erreichbar sind (TeamSpeak, VPN usw.).
Somit sind diese zumindest "nur" aus dem entsprechenden Land erreichbar.

Gruss

Gesendet von meinem ONEPLUS A5000 mit Tapatalk

So ist es bei mir auch.
Warum sollten Menschen aus sonstwo auf meine Cloud etc zugreifen, wenn ich mich in nur drei Ländern bewege...
Also kurz gesagt, um einen Dienst zu schützen/limitieren, den du anbietest. Aber nicht, um Ziele zu limitieren

JeGr · July 06, 2020, 01:29:01 PM

Was @Evil_Sense und @lenny schreiben. Das ist der einer der wenigen sinnvollen Use-Cases die wir ggf. auch nutzen. Dienstlimitierung eingehend für bestimmte Services. Wobei das auch mal stark nach hinten losgehen kann, wenn man bspw. den VPN Server damit absichert und man dann aber in irgendeinem Cafe oder sonstwas sitzt und die dooferweise eine IP aus einem Bereich haben, der eben blöderweise nicht wirklich zum Deutschen Geoblock gehört oder gerade erst neu vergeben wurde. Kam auch schon vor. Ärgerlich. Ansonsten klar, wenn mann selbst Dienste à la TS3 etc. anbietet. Aber ausgehend macht das aus vielerlei Hinsicht nur sehr begrenzt Sinn. Und bei Diensten wie VPN die noch dazu in sich noch eine ordentliche Absicherung durch User/Pass und ggf. Zertifikat halten, sehe ich den Sinn nur extrem begrenzt. HTTP/HTTPS von einer eigenen kleinen Cloud oder TS3 sind aber recht gute Beispiele wo das Sinn machen kann :)

emmitt · July 07, 2020, 07:12:14 PM

Ich danke Euch allen für die Tipps und Einschätzungen 8)
Dann lasse ich da "ausgehend" die Finger davon!

GeoIP

emmitt

June 26, 2020, 11:00:17 AM Last Edit: June 26, 2020, 04:10:30 PM by emmitt

emmitt

June 28, 2020, 08:55:39 PM #1

lenny

June 29, 2020, 07:23:59 AM #2

JeGr

June 29, 2020, 03:32:53 PM #3

emmitt

June 30, 2020, 09:58:44 AM #4 Last Edit: June 30, 2020, 11:00:17 AM by emmitt

JeGr

June 30, 2020, 12:24:28 PM #5

emmitt

July 01, 2020, 09:29:15 AM #6

micneu

July 01, 2020, 10:53:14 AM #7

Evil_Sense

July 02, 2020, 02:24:43 AM #8

lenny

July 02, 2020, 10:03:00 AM #9

JeGr

July 06, 2020, 01:29:01 PM #10

emmitt

July 07, 2020, 07:12:14 PM #11