Firewall
Beschränkung des Zugangs auf eine geografische Region
o Einzelne Regionen ausschließen
o Zugang nur aus bestimmten Regionen
Ausschluss einer bestimmten IP.
Im ausgewählten Grundzustand erlaubt ufw allen Zugriff über die Ports der im folgenden angezeigten Ports in IPv4 und IPv6.
Sie erhalten die Liste mit ufw status numbered.
Den Ausschluss einer einzelnen IP erreichen Sie durch sudo uwf insert 1 deny from <ip>
Die gesperrte IP wird bei einem Verbindungsversuch einen Connection timeout erhalten.
Ausschluss einer Region
Um ganze geografische Gebiete durch die Anwendung von Rule-Sets ausschließen zu können, ist es notwendig, die kompletten Netzblöcke der betroffenen Region zu identifizieren. Leider wurden diese Netzblöcke in der Vergangenheit von den zuständigen Institutionen nicht in zusammenhängenden Blöcken vergeben. Da aber auch die manuelle Eingabe von Millionen einzelner IP-Adressen nicht praktikabel ist, ist es zunächst notwendig, sich einen Überblick über die Situation zu verschaffen, und zwar in Form der CIDR-Notation. Die CIDR-Notation ermöglicht eine effiziente Darstellung und Verwaltung von IP-Adressbereichen. CIDR steht für "Classless Inter-Domain Routing" und bezeichnet eine Methode zur Vergabe von IP-Adressen, bei der die Adressblöcke nicht mehr an starre Klassengrenzen gebunden sind.
Indem
wir die Netzblöcke einer Region in CIDR-Notation darstellen, können wir
sie kompakt und eindeutig identifizieren. Statt Millionen einzelner
IP-Adressen müssen wir nur die Startadresse eines Blocks sowie die
Anzahl der enthaltenen Adressen angeben. Diese Information ermöglicht es
uns, den gesamten Bereich des Netzwerks zu erfassen, der von den
betroffenen Regeln ausgeschlossen werden soll.
Dank
der CIDR-Notation können wir somit einen systematischen Ansatz
verfolgen, um ganze geographische Bereiche von unseren Regelungen
auszuschließen. Indem wir uns zunächst einen Überblick über die
Netzwerktopologie verschaffen, können wir die erforderlichen Maßnahmen
effektiv umsetzen, ohne uns in einem unüberschaubaren Meer von
Einzeladressen zu verlieren.
Eine ausfühliche Übersicht über die Zuordnung von IP Addressen zu Ländern finden Sie unter https://lite.ip2location.com/ip-address-ranges-by-country.
Der Link https://www.ip2location.com/free/visitor-blocker ermöglicht den Download vollständiger Listen in verschiedenen Firewall-Formaten:
Achtung! Stolperstein, wenn ein Zugang über VPN erfolgt oder ein Webinterface genutzt wird, könnte man sich leicht aussperren, falls die IP des SSH-Client in einem der gesperrten Blöcke enthalten ist.