Ausschluss einer bestimmten IP.

Im ausgewählten Grundzustand erlaubt ufw allen Zugriff über die Ports der im folgenden angezeigten Ports in IPv4 und IPv6.
Sie erhalten die Liste mit ufw status numbered.

Den Ausschluss einer einzelnen IP erreichen Sie durch sudo uwf insert 1 deny from <ip>

Die gesperrte IP wird bei einem Verbindungsversuch einen Connection timeout erhalten.

Ausschluss einer Region

Um ganze geografische Gebiete durch die Anwendung von Rule-Sets ausschließen zu können, ist es notwendig, die kompletten Netzblöcke der betroffenen Region zu identifizieren. Leider wurden diese Netzblöcke in der Vergangenheit von den zuständigen Institutionen nicht in zusammenhängenden Blöcken vergeben. Da aber auch die manuelle Eingabe von Millionen einzelner IP-Adressen nicht praktikabel ist, ist es zunächst notwendig, sich einen Überblick über die Situation zu verschaffen, und zwar in Form der CIDR-Notation. Die CIDR-Notation ermöglicht eine effiziente Darstellung und Verwaltung von IP-Adressbereichen. CIDR steht für "Classless Inter-Domain Routing" und bezeichnet eine Methode zur Vergabe von IP-Adressen, bei der die Adressblöcke nicht mehr an starre Klassengrenzen gebunden sind.

Indem wir die Netzblöcke einer Region in CIDR-Notation darstellen, können wir sie kompakt und eindeutig identifizieren. Statt Millionen einzelner IP-Adressen müssen wir nur die Startadresse eines Blocks sowie die Anzahl der enthaltenen Adressen angeben. Diese Information ermöglicht es uns, den gesamten Bereich des Netzwerks zu erfassen, der von den betroffenen Regeln ausgeschlossen werden soll.
Dank der CIDR-Notation können wir somit einen systematischen Ansatz verfolgen, um ganze geographische Bereiche von unseren Regelungen auszuschließen. Indem wir uns zunächst einen Überblick über die Netzwerktopologie verschaffen, können wir die erforderlichen Maßnahmen effektiv umsetzen, ohne uns in einem unüberschaubaren Meer von Einzeladressen zu verlieren.

Eine ausfühliche Übersicht über die Zuordnung von IP Addressen zu Ländern finden Sie unter https://lite.ip2location.com/ip-address-ranges-by-country.

Der Link https://www.ip2location.com/free/visitor-blocker ermöglicht den Download vollständiger Listen in verschiedenen Firewall-Formaten:

  Achtung! Stolperstein, wenn ein Zugang über VPN erfolgt oder ein Webinterface genutzt wird, könnte man sich leicht aussperren, falls die IP des SSH-Client in einem der gesperrten Blöcke enthalten ist.

Last modified: Wednesday, 3 April 2024, 4:04 PM