Ich habe eine Linux-Maschine laufen auf der fail2ban installiert ist.
fail2ban kann man eine liste von IP-Adressen mitgeben, die dann blockiert werden. Die Liste kann auch im laufenden Betrieb aktualisiert werden.
Siehe auch:
http://www.blocklist.de/en/index.html
und dann die Liste: https://lists.blocklist.de/lists/all.txt
Ich erhalte dauernd Meldungen im Log von:Manuell könnte ich jetzt alle diese IP-Adressen in eine FW-Regel einbauen.
Ich suche allerdings einen Weg in dem das z.B. über eine Liste erfolgen könnte:
Eine Antwort kann ich schon vorwegnehmen: ja, "connection refused" zeigt ja, dass die Verbindung nicht zustande gekommen ist.
Soweit ich das verstehe, bekommt der Absender das aber mit. Ich würde in der FW gerne einen "drop" machen. Nach meiner Information wird das dann dem Absender nicht mitgeteilt, sondern das Paket wird einfach vom lancom nicht beantwortet. Das müsste beim Absender so aussehen, als ob die IP-Adresse gerade nicht aktiv ist.
Ich habe ein Skript geschrieben, das das logfile nach diesen Meldungen scannt und via whois versucht herauszufinden aus welchen Ländern die Anfragen kommen. Bestimmte Länder würde ich dann blocken wollen. Wohl wissend, dass sich jeder auch einen Rechner in einem anderen Land besorgen kann. Vielleicht würde ich das evtl. auch abhängig machen vom Port der angefragt wird.
Gäbe es eine Möglichkeit eine Liste den lancom 1906VA mitzugeben?
fail2ban kann man eine liste von IP-Adressen mitgeben, die dann blockiert werden. Die Liste kann auch im laufenden Betrieb aktualisiert werden.
Siehe auch:
http://www.blocklist.de/en/index.html
und dann die Liste: https://lists.blocklist.de/lists/all.txt
Ich erhalte dauernd Meldungen im Log von:
Code:
PACKET_INFO: Dst: <IPv4-Adresse des lancom>:5060 {F42240ro}, Src: 47.91.29.207:15152 (UDP): connection refusedIch suche allerdings einen Weg in dem das z.B. über eine Liste erfolgen könnte:
Code:
5.100.249.24,IL51.75.133.20,FR146.88.241.214,US185.94.111.1,RU103.174.130.13,IN64.62.156.73,US154.213.184.20,NL146.88.241.164,US80.94.93.188,GB162.142.125.251,US103.75.180.159,VN159.226.17.60,CN159.226.17.60,CN ZZ47.236.125.30,US47.236.202.159,US164.90.177.139,US185.180.198.27,US156.238.99.93,IN143.198.221.225,US193.222.99.50,DE193.222.99.50,DE GB198.235.24.70,US93.123.85.148,GB185.197.251.50,DE188.187.61.156,RU167.94.138.151,US8.222.158.125,SG8.222.158.125,SG ZZ47.91.29.207,US47.91.29.207,US JP64.62.197.90,US103.173.15.100,IN162.217.96.21,USSoweit ich das verstehe, bekommt der Absender das aber mit. Ich würde in der FW gerne einen "drop" machen. Nach meiner Information wird das dann dem Absender nicht mitgeteilt, sondern das Paket wird einfach vom lancom nicht beantwortet. Das müsste beim Absender so aussehen, als ob die IP-Adresse gerade nicht aktiv ist.
Ich habe ein Skript geschrieben, das das logfile nach diesen Meldungen scannt und via whois versucht herauszufinden aus welchen Ländern die Anfragen kommen. Bestimmte Länder würde ich dann blocken wollen. Wohl wissend, dass sich jeder auch einen Rechner in einem anderen Land besorgen kann. Vielleicht würde ich das evtl. auch abhängig machen vom Port der angefragt wird.
Gäbe es eine Möglichkeit eine Liste den lancom 1906VA mitzugeben?
Statistik: Verfasst von averlon — Heute, 12:58
