Nur IP's aus Deutschland zulassen

    Hallo,


    folgender Thread hat mich inspiriert: http://forum.qnapclub.de/viewtopic.php?f=95&t=7882&start=0


    Wäre es echt so einfach? Einfach eine IP-Rage eingeben und damit nur Zugriff aus Deutschland gewähren? Habe also recherchiert... Habe zunächst leider nur die Info gefunden, dass es keine länderspezifischen Ranges gibt... ok... aber so schnell gibt man ja nicht auf..


    Nach einigem suchen habe ich diese Webseite gefunden:


    http://www.ipaddresslocation.org/ip_ranges/get_ranges.php


    Hier ist es möglich alle IP-Ranges zu einem bestimmten Land zu ermitteln. Nun habe ich einfach mal Germany ausgewählt.. und was bekomme ich? 11895 IP-Ranges alleine für Deutschland... Nun ist es natürlich unmöglich, diese im Web-If unter Zulässige Ranges manuell einzutragen.


    Daher meine Frage: Gibt es eine Möglichkeit, diese Liste irgendwie zu importieren? Das währe natürlich das Höchste der Gefühle :)


    Alternativ lässt sich die Liste auch mit angehängtem allow oder deny ausgeben.. so wäre ein Nutzung in einer .htaccess möglich. Fraglich ist nur, ob eine .htaccess mit fast 12000 Zeilen praktikabel wäre


    Also, haben die Profis eine Idee? Ist ein Import möglich?


    Oder ist das alle eh nur Unsinn?


    Die Idee dahinter ist Portscans, etc. dadurch zumindest von einem Großteil der "Restwelt" gleich zu unterdrücken. Man würde die Angriffsfläche dadurch ja extrem minimieren :)


    Danke im Voraus !

    Zitat von "pennywise"


    Oder ist das alle eh nur Unsinn?


    Die Idee dahinter ist Portscans, etc. dadurch zumindest von einem Großteil der "Restwelt" gleich zu unterdrücken. Man würde die Angriffsfläche dadurch ja extrem minimieren :)


    Danke im Voraus !


    Hallöle,


    also als kompletten Unsinn würde ich das nicht bezeichnen, ist aber schon seh rnah dran...
    Also der Reihe nach:
    Gegen Portscans aus Deutschland und der "Restwelt" wirst Du nicht viel unternehmen können. (Du kannst ja auch schlecht verhindern, das jemand Dein Haus in dem Du lebst siehst oder das "jedermann" bei Dir klingeln kann.
    Minimieren kannst Du die Angriffsfläche nur dadurch, dass Du Deinen Router entsprechend konfigurierst, keine oder möglichst wenig Dienste anbietest und den Router immer dann ausschaltest, wenn Du ihn nicht brauchst.
    Eine 100%-Sicher-Lösung gibt es nicht, aber mit fundierten Grundkenntnissen aus den Bereichen TCP/IP, Firwall & Routing lässt sich einiges Bewerkstelligen.
    Grüße
    Jody

    Ich weiß ja nicht, wie das NAS oder der Router diese Liste abarbeiten würde, aber ich denke mal, das zwingt normale Geräte in die Knie. Klartext: Ich halte die Idee für Unfug.


    Vielleicht ist es einfacher, du mietest dir einen kleinen Server oder ein gut konfigurierbares Homepage-Angebot und richtest dort eine doorway-page ein, die auf dein NAS geht.


    Übrigens: seit ich mein NAS auf https umgeschaltet habe bzw. mein DynDNS im Router auf Port 443 weitergeleitet wird, ist bei mir Ruhe im Karton.


    Noch besser: kauf dir einen Router, der VPN kann, dann ist das Problem aus der Welt.

    Ich selbst greife von außerhalb per SSH und Tunnel dann den Verkehr darüber.. dahingehend ist alles sauber


    Da ich aber einen Webserver betreibe geht es mir um die Zugriffe darauf. Kann ja nicht allen meinen SSH-Key geben... Ich hatte bis vor kurzem auch nur Port 443 auf (und einen SSH-Port, natürlich nicht 22).. da war nix in den Logs... aber aufgrund einer hier bereits geschilderten Problematik hab ich momentan auch Port 80 offen... und jetzt kommen halt auch komische Anfragen.. Und die dachte ich kann ich mit der Sperrliste von vornherein blocken..


    aber fast 12000 Zeilen werden wohl zu viel sein, hab ich mir eigentlich auch gedacht... deshalb wollte ich ja hier fragen..


    Darum gehts mir...