Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Inlogpogingen ondanks block op router

Pagina: 1
Acties:

Vraag

zondag 15 januari 2017 17:19

Acties:
  • Tallguy
  • Registratie: Augustus 2000
  • Niet online

Tallguy

There is no place like 127.0.0

Topicstarter
Ik heb een Asus RT-AC66U router met een MerlinWRT firmware erop draaien.
Via deze site heb ik een script draaien dat landen zou moeten blocken gebasseerd op hun IP adres (land van herkomst dus): https://github.com/RMerl/asuswrt-merlin/wiki/Using-ipset

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66

#!/bin/sh

# Loading ipset modules
lsmod | grep "ipt_set" > /dev/null 2>&1 || \
for module in ip_set ip_set_nethash ip_set_iphash ipt_set
do
    insmod $module
done

# Preparing folder to cache downloaded files
IPSET_LISTS_DIR=/jffs/ipset_lists
[ -d "$IPSET_LISTS_DIR" ] || mkdir -p $IPSET_LISTS_DIR

# Different routers got different iptables syntax
case $(uname -m) in
  armv7l)
    MATCH_SET='--match-set'
    ;;
  mips)
    MATCH_SET='--set'
    ;;
esac

# Block traffic from Tor nodes
if [ "$(ipset --swap TorNodes TorNodes 2>&1 | grep 'Unknown set')" != "" ]
then
    ipset -N TorNodes iphash
    [ -e $IPSET_LISTS_DIR/tor.lst ] || wget -q -O $IPSET_LISTS_DIR/tor.lst http://torstatus.blutmagie.de/ip_list_all.php/Tor_ip_list_ALL.csv
    for IP in $(cat $IPSET_LISTS_DIR/tor.lst)
    do
        ipset -A TorNodes $IP
    done
fi
[ -z "$(iptables-save | grep TorNodes)" ] && iptables -I INPUT -m set $MATCH_SET TorNodes src -j DROP

# Block incoming traffic from some countries. cn and pk is for China and Pakistan. See other countries code at http://www.ipdeny.com/ipblocks/
if [ "$(ipset --swap BlockedCountries BlockedCountries 2>&1 | grep 'Unknown set')" != "" ]
then
    ipset -N BlockedCountries nethash
    for country in pk cn
    do
        [ -e $IPSET_LISTS_DIR/$country.lst ] || wget -q -O $IPSET_LISTS_DIR/$country.lst http://www.ipdeny.com/ipblocks/data/countries/$country.zone
        for IP in $(cat $IPSET_LISTS_DIR/$country.lst)
        do
            ipset -A BlockedCountries $IP
        done
    done
fi
[ -z "$(iptables-save | grep BlockedCountries)" ] && iptables -I INPUT -m set $MATCH_SET BlockedCountries src -j DROP

# Block Microsoft telemetry spying servers
if [ "$(ipset --swap MicrosoftSpyServers MicrosoftSpyServers 2>&1 | grep 'Unknown set')" != "" ]
then
    ipset -N MicrosoftSpyServers iphash
    for IP in 23.99.10.11 63.85.36.35 63.85.36.50 64.4.6.100 64.4.54.22 64.4.54.32 64.4.54.254 \
              65.52.100.7 65.52.100.9 65.52.100.11 65.52.100.91 65.52.100.92 65.52.100.93 65.52.100.94 \
              65.55.29.238 65.55.39.10 65.55.44.108 65.55.163.222 65.55.252.43 65.55.252.63 65.55.252.71 \
              65.55.252.92 65.55.252.93 66.119.144.157 93.184.215.200 104.76.146.123 111.221.29.177 \
              131.107.113.238 131.253.40.37 134.170.52.151 134.170.58.190 134.170.115.60 134.170.115.62 \
              134.170.188.248 157.55.129.21 157.55.133.204 157.56.91.77 168.62.187.13 191.234.72.183 \
              191.234.72.186 191.234.72.188 191.234.72.190 204.79.197.200 207.46.223.94 207.68.166.254
    do
        ipset -A MicrosoftSpyServers $IP
    done
fi
[ -z "$(iptables-save | grep MicrosoftSpyServers)" ] && iptables -I FORWARD -m set $MATCH_SET MicrosoftSpyServers dst -j DROP


Als landen die ik wil blocken heb ik dit rijtje inmiddels in mijn script zitten:
in pk cn ph sa kr af ru ua ro th tr us br it hu mx co pl hk kp kz my ng sg vn ar fr

De router laadt het script netjes. De laatste entry die ik zie mbt dit is deze: _retry: net/ipv4/netfilter/ip_set_nethash.c: nethash_retry: rehashing of set BlockedCountries triggered: hashsize grows from 448398 to 6725977

Toch krijg ik van mijn achterliggende NAS soms meldingen dat er vanuit Rusland, Turkije of Thailand wordt geprobeerd in te loggen (meestal op poort 587 van mijn Mailserver). Die poort staat wel open, maar je zou toch denken dat het script (wat geladen is) dat alsnog zou moeten tegenhouden?

Als ik test of men vanuit bijv Amerika op mijn NAS kan (dus via HTTPS incl de poort die nodig is), dan zie ik in mijn Asus een ACCEPT tegenkomen.Mijn NAS houdt het uiteindelijk alsnog tegen, maar het is toch raar dat mijn router het niet stopt? :? 8)7

[ Voor 64% gewijzigd door Tallguy op 15-01-2017 17:37 ]

specs | 3360wP met SE3000

Beste antwoord (via Tallguy op 17-01-2017 13:20)

dinsdag 17 januari 2017 12:22

  • donny007
  • Registratie: Januari 2009
  • Laatst online: 11:26

donny007

Try the Nether!

Ah, ik zie het al.

De BlockedCountries regel moet onder regel vier geplaatst worden. Zodra je vanuit je eigen netwerk een verbinding opzet naar een van die adressen wordt het verkeer dan wél doorgelaten.

Om dat te doen moet je de regel eerst opnieuw aanmaken op de juiste positie, daarna moet je de oude verwijderen:
code:
1
2
3
4
5

# Aanmaken tussen de vierde en de vijfde regel in:
iptables -I FORWARD 5 -m set --set BlockedCountries src -j DROP

# Eerste regel verwijderen:
iptables -D INPUT 1


Regel 5 (accept all anywhere anywhere) zorgt ervoor dat alle regels daaronder (zoals de jump naar de security chain) niet meer aan bod komen. Als het met de landen goed werkt kun je kijken of je die kunt verwijderen.

/dev/null

Alle reacties

zondag 15 januari 2017 18:31

Acties:
  • donny007
  • Registratie: Januari 2009
  • Laatst online: 11:26

donny007

Try the Nether!

Het script dat je gebruikt is om verkeer naar services (vpn, webinterface, ping) van de router zelf te filteren (INPUT chain), verkeer dat door de router heen gaat (FORWARD chain) wordt niet meegenomen.

Basic diagram van iptables (er zijn nog meer chains):

Afbeeldingslocatie: https://i.imgur.com/Gh5HfCS.png

Je zult moeten gaan filteren in de FORWARD chain om verkeer richting je lokale netwerk te blokkeren.

De CPU in zo'n router is niet heel snel, als je honderden IP-adressen probeert te matchen op een grote datastroom gaat hij over zijn nek.

[ Voor 20% gewijzigd door donny007 op 15-01-2017 18:40 ]

/dev/null

zondag 15 januari 2017 18:45

Acties:
  • Tallguy
  • Registratie: Augustus 2000
  • Niet online

Tallguy

There is no place like 127.0.0

Topicstarter
Dit klinkt logisch. Ik vraag me dan alleen af hoe ik alsnog kan zorgen dat ik landen op de FORWARD geblocked kan krijgen.
Ik vang nu bijna alle landen af op de NAS zelf, maar het liefst wil ik mijn 1st line of defense zo vroeg mogelijk hebben in mijn netwerk.

specs | 3360wP met SE3000

zondag 15 januari 2017 20:17

Acties:
  • donny007
  • Registratie: Januari 2009
  • Laatst online: 11:26

donny007

Try the Nether!

De huidige iptables configuratie kan worden weergegeven met het commando "iptables -L".

Kun je daarvan de output posten?

/dev/null

maandag 16 januari 2017 09:12

Acties:
  • Tallguy
  • Registratie: Augustus 2000
  • Niet online

Tallguy

There is no place like 127.0.0

Topicstarter
@donny007

Bij deze:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63

Chain INPUT (policy ACCEPT)
 target     prot opt source               destination         
 DROP       all  --  anywhere             anywhere            set BlockedCountries src 
 DROP       all  --  anywhere             anywhere            set TorNodes src 
 ACCEPT     all  --  anywhere             anywhere            
 ACCEPT     udp  --  anywhere             anywhere            udp dpt:1194 
 logdrop    icmp --  anywhere             anywhere            icmp echo-request 
 logaccept  all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
 logdrop    all  --  anywhere             anywhere            state INVALID 
 ACCEPT     all  --  anywhere             anywhere            state NEW 
 ACCEPT     all  --  anywhere             anywhere            state NEW 
 logaccept  udp  --  anywhere             anywhere            udp spt:bootps dpt:bootpc 
 logaccept  icmp --  anywhere             anywhere            icmp !echo-request 
 logdrop    all  --  anywhere             anywhere            

 Chain FORWARD (policy DROP)
 target     prot opt source               destination         
 DROP       all  --  anywhere             anywhere            set BluetackLevel1 src,dst 
 DROP       all  --  anywhere             anywhere            set MicrosoftSpyServers dst 
 logaccept  all  --  anywhere             anywhere            state RELATED,ESTABLISHED 
 ACCEPT     all  --  anywhere             anywhere            
 logdrop    all  --  anywhere             anywhere            
 logdrop    all  --  anywhere             anywhere            state INVALID 
 logaccept  all  --  anywhere             anywhere            
 SECURITY   all  --  anywhere             anywhere            
 logaccept  all  --  anywhere             anywhere            ctstate DNAT 
 ACCEPT     all  --  anywhere             anywhere            

 Chain OUTPUT (policy ACCEPT)
 target     prot opt source               destination         

 Chain FUPNP (0 references)
 target     prot opt source               destination         

 Chain NSFW (0 references)
 target     prot opt source               destination         
 logdrop    tcp  --  192.168.0.16         srv822.flexwebhosting.nl tcp spt:2849 dpt:www 
 logdrop    udp  --  Hikvision-Back       ec2-54-77-197-142.eu-west-1.compute.amazonaws.com udp spt:57618 dpt:57618 
 logdrop    udp  --  S685-IP              77.72.168.0/23      
 logaccept  all  --  anywhere             anywhere            

 Chain PControls (0 references)
 target     prot opt source               destination         
 logaccept  all  --  anywhere             anywhere            

 Chain SECURITY (1 references)
 target     prot opt source               destination         
 RETURN     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 
 logdrop    tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN 
 RETURN     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 
 logdrop    tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST 
 RETURN     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5 
 logdrop    icmp --  anywhere             anywhere            icmp echo-request 
 RETURN     all  --  anywhere             anywhere            

 Chain logaccept (8 references)
 target     prot opt source               destination         
 LOG        all  --  anywhere             anywhere            state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT ' ACCEPT     all  --  anywhere             anywhere            

 Chain logdrop (11 references)
 target     prot opt source               destination         
 LOG        all  --  anywhere             anywhere            state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP ' 
 DROP       all  --  anywhere             anywhere

specs | 3360wP met SE3000

maandag 16 januari 2017 10:14

Acties:
  • dion_b
  • Registratie: September 2000
  • Laatst online: 19:17

dion_b

Moderator Harde Waren

say Baah

Tallguy schreef op zondag 15 januari 2017 @ 18:45:
Dit klinkt logisch. Ik vraag me dan alleen af hoe ik alsnog kan zorgen dat ik landen op de FORWARD geblocked kan krijgen.
Ik vang nu bijna alle landen af op de NAS zelf, maar het liefst wil ik mijn 1st line of defense zo vroeg mogelijk hebben in mijn netwerk.
Heb je goed gekeken naar die lijst van landen? Ik zie daar genoeg landen tussen zitten waar genoeg mailservers zouden kunnen staan die bona fide redenen zouden kunnen hebben om jouw mailserver te benaderen en trouwns landen waar je zelf wel eens op vakantie zou kunnen zijn of waar je vrienden/kennissen/collega's zou kunnen hebben die je toegang wilt verschaffen (en dan hoef je niet eens bijzonder avontuurlijk te zijn, .us, .fr en .it staan in het lijstje :') )

Puur filosofisch druist in stukjes hakken van de wereld lijnrecht in tegen de bedoeling van het internet, maar los daarvan zit je hier met een dermate botte bijl te hakken dat je riskeert mails te missen en mogelijk nog andere ongein waar je tijd in moet stoppen om te troubleshooten of waardoor je simpelweg niet bij je eigen bestanden kunt op momenten dat je ze nodig hebt.

Komt bij dat NL zelf in de top zit van botnet CnC servers (#3, na US en British Virgin Islands - die laatste heb je trouwens ook niet uitgesloten). Je kunt misschien de hoeveelheid requests verminderen door redelijk at-random landen te blokkeren, maar de aantallen die binnenkomen zullen hoog genoeg blijven dat als je beveiliging niet op orde is, je de lul gaat zijn. En als je beveiliging wel op orde is, is de toegevoegde waarde van zo'n blokkade nihil.

Oslik blyat! Oslik!

maandag 16 januari 2017 10:54

Acties:
  • Tallguy
  • Registratie: Augustus 2000
  • Niet online

Tallguy

There is no place like 127.0.0

Topicstarter
Die landen hebben niks te zoeken op mijn NAS, trust me :)

En ik heb een OpenVPN draaien zodat ik altijd erbij kan, waar ik ook ben met vakantie.

[ Voor 44% gewijzigd door Tallguy op 16-01-2017 10:56 ]

specs | 3360wP met SE3000

maandag 16 januari 2017 11:30

Acties:
  • donny007
  • Registratie: Januari 2009
  • Laatst online: 11:26

donny007

Try the Nether!

Tallguy schreef op maandag 16 januari 2017 @ 09:12:
@donny007
De exacte syntax is van het commando verschilt per router/architectuur.

Voer eerst het commando "uname -a" uit, afhankelijk van de output daarvan kun je één van deze commando's gebruiken:

Uname: "armv7l"
iptables -I FORWARD -m set --match-set BlockedCountries src -j DROP

Uname: "mips"
iptables -I FORWARD -m set --set BlockedCountries src -j DROP

/dev/null

maandag 16 januari 2017 11:35

Acties:
  • Tallguy
  • Registratie: Augustus 2000
  • Niet online

Tallguy

There is no place like 127.0.0

Topicstarter
@donny007 : wat doet dat precies? Ik probeer te begrijpen wat er veranderd (kan worden), vandaar mijn vraag.

specs | 3360wP met SE3000

maandag 16 januari 2017 12:25

Acties:
  • donny007
  • Registratie: Januari 2009
  • Laatst online: 11:26

donny007

Try the Nether!

Het maakt deze regel (uit de INPUT chain) aan in de FORWARD chain:

code:
1

DROP       all  --  anywhere             anywhere            set BlockedCountries src


Het commando is overgenomen uit het script, uitleg per optie:

code:
1
2
3
4
5
6

iptables 
-I FORWARD                      Insert een regel (bovenaan) in de FOWARD chain
-m set                          Match op basis van een set (lijst van ip-adressen)
--match-set BlockedCountries    De set waarop gematcht dient te worden, in dit geval de set "BlockedCountries" die eerder door het script is aangemaakt
src                             Het ip-adres van de bron (source) moet overeenkomen
-j DROP                         De actie die ondernomen wordt zodra aan deze eissen is voldaan, in dit geval een DROP

/dev/null

maandag 16 januari 2017 12:37

Acties:
  • consolefreak
  • Registratie: November 2002
  • Laatst online: 20:42

consolefreak

Tallguy schreef op maandag 16 januari 2017 @ 10:54:
Die landen hebben niks te zoeken op mijn NAS, trust me :)

En ik heb een OpenVPN draaien zodat ik altijd erbij kan, waar ik ook ben met vakantie.
Hoe ga je dat doen als je verbinding geblokkeerd wordt omdat je in een land zit dat je actief blokkeerd? Dat is namelijk wat gaat gebeuren als je dezelfde input filtering plaatst op INPUT zoals voorgesteld in deze thread

maandag 16 januari 2017 12:49

Acties:
  • Tallguy
  • Registratie: Augustus 2000
  • Niet online

Tallguy

There is no place like 127.0.0

Topicstarter
Ja, das een goeie :) moet ik dan even wat voor aanpassen

specs | 3360wP met SE3000

maandag 16 januari 2017 12:52

Acties:
  • donny007
  • Registratie: Januari 2009
  • Laatst online: 11:26

donny007

Try the Nether!

consolefreak schreef op maandag 16 januari 2017 @ 12:37:
[...]

Hoe ga je dat doen als je verbinding geblokkeerd wordt omdat je in een land zit dat je actief blokkeerd? Dat is namelijk wat gaat gebeuren als je dezelfde input filtering plaatst op INPUT zoals voorgesteld in deze thread
Om dat mogelijk te maken kan TS aparte regels voor VPN-verkeer toevoegen (of de regel uitschakelen voordat hij/zij vertrekt).

/dev/null

dinsdag 17 januari 2017 11:11

Acties:
  • Tallguy
  • Registratie: Augustus 2000
  • Niet online

Tallguy

There is no place like 127.0.0

Topicstarter
@donny007. OK, dat blocked inderdaad nu erg veel, te veel zelfs :) Maar dat snap ik ook want er is geen reeks aangegeven.
Als ik die opdrachtregel wil aanpassen zodat 1 intern IP adres dan niet vanuit die landen bereikbaar is, wordt het dan dit?

code:
1

iptables -I FORWARD -m set --set BlockedCountries src -d 192.168.0.197 -j DROP

specs | 3360wP met SE3000

dinsdag 17 januari 2017 11:31

Acties:
  • donny007
  • Registratie: Januari 2009
  • Laatst online: 11:26

donny007

Try the Nether!

Kun je de volledige iptables (met de nieuwe regel erin) nog een keer posten?

Met regelnummers:
code:
1

iptables -L --line-numbers

[ Voor 30% gewijzigd door donny007 op 17-01-2017 11:32 ]

/dev/null

dinsdag 17 januari 2017 11:37

Acties:
  • RGAT
  • Registratie: Augustus 2011
  • Niet online

RGAT

Tja je probeert een probleem op de verkeerde manier op te lossen ;)
Enige oplossing: loskoppelen van internet...
Dit soort troep ga je altijd krijgen, dus zorg ervoor dat je beveiliging op orde is, verspil je tijd en energie niet in nutteloze blokkades maar zorg dat je wachtwoorden goed zijn en je firmware up to date.
Afhankellijk van hoe oud je bent heb je mogelijk op school nog de internetfilters mee gemaakt, die werden ook op dag 1 al omzeild, blokades doen niks ;)

Fixing things to the breaking point...

dinsdag 17 januari 2017 12:04

Acties:
  • Tallguy
  • Registratie: Augustus 2000
  • Niet online

Tallguy

There is no place like 127.0.0

Topicstarter
donny007 schreef op dinsdag 17 januari 2017 @ 11:31:
Kun je de volledige iptables (met de nieuwe regel erin) nog een keer posten?

Met regelnummers:
code:
1

iptables -L --line-numbers
@donny007 bij deze
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65

Chain INPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       all  --  anywhere             anywhere            set BlockedCountries src
2    DROP       all  --  anywhere             anywhere            set TorNodes src
3    ACCEPT     all  --  anywhere             anywhere
4    ACCEPT     udp  --  anywhere             anywhere            udp dpt:1194
5    logdrop    icmp --  anywhere             anywhere            icmp echo-request
6    logaccept  all  --  anywhere             anywhere            state RELATED,ESTABLISHED
7    logdrop    all  --  anywhere             anywhere            state INVALID
8    ACCEPT     all  --  anywhere             anywhere            state NEW
9    ACCEPT     all  --  anywhere             anywhere            state NEW
10   logaccept  udp  --  anywhere             anywhere            udp spt:bootps dpt:bootpc
11   logaccept  icmp --  anywhere             anywhere            icmp !echo-request
12   logdrop    all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
num  target     prot opt source               destination
1    DROP       all  --  anywhere             anywhere            set BlockedCountries src
2    DROP       all  --  anywhere             anywhere            set BluetackLevel1 src,dst
3    DROP       all  --  anywhere             anywhere            set MicrosoftSpyServers dst
4    logaccept  all  --  anywhere             anywhere            state RELATED,ESTABLISHED
5    ACCEPT     all  --  anywhere             anywhere
6    logdrop    all  --  anywhere             anywhere
7    logdrop    all  --  anywhere             anywhere            state INVALID
8    logaccept  all  --  anywhere             anywhere
9    SECURITY   all  --  anywhere             anywhere
10   logaccept  all  --  anywhere             anywhere            ctstate DNAT
11   ACCEPT     all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination

Chain FUPNP (0 references)
num  target     prot opt source               destination

Chain NSFW (0 references)
num  target     prot opt source               destination
1    logdrop    tcp  --  192.168.0.16         srv822.flexwebhosting.nl tcp spt:2849 dpt:www
2    logdrop    udp  --  Hikvision-Back       ec2-54-77-197-142.eu-west-1.compute.amazonaws.com udp spt:57618 dpt:57618
3    logdrop    udp  --  S685-IP              77.72.168.0/23
4    logaccept  all  --  anywhere             anywhere

Chain PControls (0 references)
num  target     prot opt source               destination
1    logaccept  all  --  anywhere             anywhere

Chain SECURITY (1 references)
num  target     prot opt source               destination
1    RETURN     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5
2    logdrop    tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN
3    RETURN     tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5
4    logdrop    tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST
5    RETURN     icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5
6    logdrop    icmp --  anywhere             anywhere            icmp echo-request
7    RETURN     all  --  anywhere             anywhere

Chain logaccept (8 references)
num  target     prot opt source               destination
1    LOG        all  --  anywhere             anywhere            state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '
2    ACCEPT     all  --  anywhere             anywhere

Chain logdrop (11 references)
num  target     prot opt source               destination
1    LOG        all  --  anywhere             anywhere            state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '
2    DROP       all  --  anywhere             anywhere

specs | 3360wP met SE3000

dinsdag 17 januari 2017 12:22

Acties:
  • Beste antwoord
  • donny007
  • Registratie: Januari 2009
  • Laatst online: 11:26

donny007

Try the Nether!

Ah, ik zie het al.

De BlockedCountries regel moet onder regel vier geplaatst worden. Zodra je vanuit je eigen netwerk een verbinding opzet naar een van die adressen wordt het verkeer dan wél doorgelaten.

Om dat te doen moet je de regel eerst opnieuw aanmaken op de juiste positie, daarna moet je de oude verwijderen:
code:
1
2
3
4
5

# Aanmaken tussen de vierde en de vijfde regel in:
iptables -I FORWARD 5 -m set --set BlockedCountries src -j DROP

# Eerste regel verwijderen:
iptables -D INPUT 1


Regel 5 (accept all anywhere anywhere) zorgt ervoor dat alle regels daaronder (zoals de jump naar de security chain) niet meer aan bod komen. Als het met de landen goed werkt kun je kijken of je die kunt verwijderen.

/dev/null

dinsdag 17 januari 2017 13:21

Acties:
  • Tallguy
  • Registratie: Augustus 2000
  • Niet online

Tallguy

There is no place like 127.0.0

Topicstarter
@donny007 : Bedankt !! Dit ziet er goed uit en lijkt goed te werken met wat testjes _/-\o_

specs | 3360wP met SE3000

dinsdag 17 januari 2017 13:29

Acties:
  • Tallguy
  • Registratie: Augustus 2000
  • Niet online

Tallguy

There is no place like 127.0.0

Topicstarter
.

[ Voor 99% gewijzigd door Tallguy op 17-01-2017 13:29 ]

specs | 3360wP met SE3000

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq