Firewall Neuerungen, Floating, Aliases

[pumuckl]

Du machst einen Ping auf news.ru und dann einen Whois auf die IP Adresse. Wenn die Site bei Amazon AWS gehostet wird hast du keine Chance. Da brauchst du dann transparenten Proxy oder DNS Blocklisten

Ah, verstehe, ich Danke Dir.

Habe das jetzt mit einer eigenen DNS-Blockliste gelöst, funktioniert. 

kannst du mir screen shots machen, würde gerne wissen wie das aussieht

[Marcel_75]

@pumuckl: Klar, gern.

WaterHOL Level1 ist dann halt meine eigene Liste, im Prinzip eine nackte Kopie der FireHOL Level3 auf meinem eigenen Server, zur Zeit steht da nur drin:

Code: [Select]

217.182.91.250 # news.ru
Und das blockt dann halt verlässlich den Zugriff auf die IP 217.182.91.250 und somit news.ru …

[mimugmail]

root@pns:~# whois 217.182.91.250
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '217.182.0.0 - 217.182.255.255'

% Abuse contact for '217.182.0.0 - 217.182.255.255' is 'abuse@ovh.net'

inetnum:        217.182.0.0 - 217.182.255.255
netname:        FR-OVH-20010302
country:        FR
org:            ORG-OS3-RIPE
admin-c:        OK217-RIPE
tech-c:         OTC2-RIPE
status:         ALLOCATED PA
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         OVH-MNT
mnt-routes:     OVH-MNT
mnt-domains:    OVH-MNT
created:        2017-02-20T12:16:57Z
last-modified:  2017-02-20T12:16:57Z
source:         RIPE # Filtered

organisation:   ORG-OS3-RIPE
org-name:       OVH SAS
org-type:       LIR
address:        2 rue Kellermann
address:        59100
address:        Roubaix
address:        FRANCE
phone:          +33972101007
abuse-c:        AR15333-RIPE
admin-c:        OTC2-RIPE
admin-c:        OK217-RIPE
admin-c:        GM84-RIPE
mnt-ref:        OVH-MNT
mnt-ref:        RIPE-NCC-HM-MNT
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         OVH-MNT
created:        2004-04-17T11:23:17Z
last-modified:  2017-10-30T14:40:06Z
source:         RIPE # Filtered


Die IP ist in Frankreich, das erklärt dann auch GeoIP

[pumuckl]

Muss eine Regel im LAN Tab eingehende oder ausgehende Verbindungen überprüfen?

Standard mäßig ist eingehend "in" aktive.

Mein Verstand sagt das  Im wann eingehende und im Lan netz ausgehende Verbindungen geprüft werden müssen.

Wenn ich Geoips auf der WAN Seite filtere, muss ich den alias als quelle definieren und eingehend.

Auf der Lan Seite als Destination und ausgehen.

Die IP Filter funktionieren jetzt, aber ich bin mir noch nicht sicher wann ich eingehend und ausgehend filtern soll.

Eine Regel im Lan, die eine Ip eingehend Blockt, kann ich aufrufen aber die Antwort wird geblockt oder?

Sollte ich auch ausgehend Blocken, zb im Wan Tab ? Damit mich der "böse" Server erst gar nicht sieht?

[mimugmail]

Im LAN Tab filterst du Verbindungen von innen nach außen, z.b. einen Trojaner der nach Hause telefonieren mag. Im WAN Tab filterst du Angriffe von außen, z.B. Bruteforce auf deinen Mailserver. Es macht also beides Sinn