GeoIP

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

jk919
Beiträge: 7
Registriert: Do 10.03.2022, 16:44

GeoIP

Beitrag von jk919 »

Hallo zusammen,

gilt das systemweite GeoIP Blocking dann auch für den Mailfilter?
Sprich wenn ich bestimmte Länder blocke, kommen auch keine E-Mails mehr aus diesen Ländern und werden gedroppt?

MfG

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ueber die implizierten Regeln: Ja
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

pc-technik
Beiträge: 2
Registriert: Do 18.07.2019, 11:33

Beitrag von pc-technik »

Hallo,

weiß jemand, wie ich schnell ALLE Länder blocken kann um dann im Anschluss nur noch D,A,CH wieder rauszunehmen?

Schönes Wochenende

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Leider nein. Ist Situationsabhaengig.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Benutzeravatar
Lauritzl
Securepoint
Beiträge: 61
Registriert: Mo 09.12.2019, 10:29

Beitrag von Lauritzl »

Mögliche Lösung:
  • Netzwerkgruppe DACH einrichten
  • GeoIP DE AT und CH darin aufnehmen
  • Im Portfilter alle Regeln mit Netzwerkobjekt internet durch das neue Netzwerkobjekt DACH ersetzen
Mit freundlichen Grüßen

Lauritz Laatzen
Support / Wiki
Tel. 04131/2401-0 ◦ Fax 04131/2401-50

Securepoint GmbH
Bleckeder Landstraße 28 ◦ D-21337 Lüneburg

Matthias_Ueberschär
Beiträge: 30
Registriert: Mo 19.01.2015, 09:25

Beitrag von Matthias_Ueberschär »

Die Idee mit DACH Netzwerkobjekt ist gut. Aber die, von den implizierten Regeln, geöffneten Ports bleiben weltweit erreichbar. Da meines Wissens die implizierten Regeln vor dem eigentlichen Regelwerk abgearbeitet werden, oder liege ich da falsch?

Gruß

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Korrekt. Die Implizierten Regeln greifen vorab. Auch ausgehende Dienste der Firewall (z.B. Proxy/ Mailrelay) sind hier zu bedenken. Hier kommt man mit regulaeren Portfilterregeln aktuell nicht bei. Implizierte Regeln dagegen greifen.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Matthias_Ueberschär
Beiträge: 30
Registriert: Mo 19.01.2015, 09:25

Beitrag von Matthias_Ueberschär »

Wird es dafür noch die Funktion "Blocke alle Länder, bis auf folgende" geben?
In der Wunschbox wurde die Idee ja jetzt einfach mit "Verfügbar" aus der Liste entfernt und auf das Feedback nicht weiter eingegangen.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Kann ich aktuell nicht sagen
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Matthias_Ueberschär
Beiträge: 30
Registriert: Mo 19.01.2015, 09:25

Beitrag von Matthias_Ueberschär »

Danke für die Rückmeldung. Es wäre glaube ich eine große Hilfe, wenn diese Funktion noch hinzugefügt wird.
Aktuell wird die WebGui komplett überlastet, wenn man versucht alle Länder in die implizierten Regeln einzutragen.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Ich spreche das auf jeden Fall intern an.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Karl
Beiträge: 11
Registriert: Sa 12.01.2019, 01:37

Beitrag von Karl »

gibt es eigentlich eine Möglichkeit zu Überprufen, zu welcher GeoIP eine bestimmte IP-Adresse gehört ? Ähnlich wie bei URL Kategorien. Manchmal weiß man ja nicht wo ein bestimmter Service gehostet wird.

Matthias_Ueberschär
Beiträge: 30
Registriert: Mo 19.01.2015, 09:25

Beitrag von Matthias_Ueberschär »

Ja das wäre auch noch cool, wenn man die IPs in den Netzwerktools prüfen könnte.

Ich prüfe die aktuell über folgenden Dienst: https://www.maxmind.com/en/geoip-demo

PS: Es wäre auch schön, wenn man im Log sehen würde das eine Verbindung auf Grund der GeoIP Einstellung geblockt wird.

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Eine entsprechende Drop-Meldung fuer die implizierte Regeln wird bereits erzeugt. Falls ueber Portfilterregeln gearbeitet wird > Logging aktivieren.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Matthias_Ueberschär
Beiträge: 30
Registriert: Mo 19.01.2015, 09:25

Beitrag von Matthias_Ueberschär »

Soll der Eintrag im Log die Kategorie "DROP: DropSource" sein? Das muss man aber auch erst mal wissen ;)

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Genau.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Matthias_Ueberschär
Beiträge: 30
Registriert: Mo 19.01.2015, 09:25

Beitrag von Matthias_Ueberschär »

Hallo,
der Securepoint Support beschrieb mir gestern, wie man die Länder auch per CLI einpflegen kann.
Darauf hin habe ich eine kleine Hilfe-Seite zusammengebaut. Dort kann man einfach die Länder auswählen, die man blocken möchte. Die Seite erstellt danach den passenden CLI Code.

Hinweis: Keine Garantie, dass die Länder-Liste vollständig ist und alle Zuordnungen passen. Ich denke es schon, aber man kann ja nie wissen :)

Es handelt sich noch um eine frühe Version, ggf. kommen noch Funktionen dazu.

https://hctec.net/geoip/

Bei Rückfragen stehe ich euch gerne zur Verfügung.

MfG
Matthias

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Große Klasse!
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Parasprinter
Beiträge: 30
Registriert: Di 15.02.2022, 12:42

Beitrag von Parasprinter »

Matthias_Ueberschär

vielen Dank für die Mühe die Du dir gemacht hast.
Was bedeuten die Farben?
Rot = auf jeden Fall blocken
Grün = wichtige Dienste laufen über diese Nationen
schwarz = optional
???

Im Securepoint Partner Forum auf Facebook war diese Funktion schon lange angefragt. Vielleicht magst Du das ja dort mit posten.
[ltr]
Gruß Michael[/ltr]

Matthias_Ueberschär
Beiträge: 30
Registriert: Mo 19.01.2015, 09:25

Beitrag von Matthias_Ueberschär »

Hallo Michael,

die Farben haben folgende Bedeutungen:
Rot = Sollte geblockt werden. Ich habe dazu im Internet recherchiert, aus welchen Ländern die meisten Angriffe erfolgen sollen
Grün = Wichtige Dienste bzw. notwendige Verbindungen
Schwarz = Neutral

Das hast du so schon richtig erkannt.

Sollten wir noch bei anderen Diensten Probleme erkennen, würde ich die Länder auch jeweils mit einem Hinweis auf der Seite versehen.

Ich habe kein Facebook (mehr), wenn du möchtest kannst du aber gerne dort die URL posten.

Gruß
Matthias

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Moin,

evtl. noch folgende Befehle beim generieren hinzufügen:
system update rule
system config save

Gruß
Kenneth

Matthias_Ueberschär
Beiträge: 30
Registriert: Mo 19.01.2015, 09:25

Beitrag von Matthias_Ueberschär »

Hallo Kenneth,

danke für den Hinweis. Ich hab die Befehle mit eingebaut.

Gruß
Matthias

Matthias_Ueberschär
Beiträge: 30
Registriert: Mo 19.01.2015, 09:25

Beitrag von Matthias_Ueberschär »

Eine einfache Import Möglichkeit habe ich jetzt auch noch eingebaut. Ist unten auf der Seite zu finden.

Kay Strandt
Beiträge: 1
Registriert: Mi 30.09.2020, 14:43

Beitrag von Kay Strandt »

Mario hat geschrieben: Eine entsprechende Drop-Meldung fuer die implizierte Regeln wird bereits erzeugt. Falls ueber Portfilterregeln gearbeitet wird > Logging aktivieren.
Moin,

kann es sein, das es hier nun mit der Version 12.2.2.1 einen Bug gibt? Hier erscheinen nur noch Einträge mit "DROP: IPGeoBlockingDst". Es sollten aber auch Einträge in Form von "DROP: IPGeoBlockingSrc" auftauchen oder? In der 12.2.2 war das noch der Fall, da hießen die  Einträge aber auch noch etwas anders.

VG
Kay

Benutzeravatar
Mario
Securepoint
Beiträge: 935
Registriert: Mi 04.04.2007, 10:47
Wohnort: Bäckerei

Beitrag von Mario »

Aktuell wird am Geo:IP Blocking noch gearbeitet/ verbessert. die 12.2.2.1 enthaelt bereits einen Bugfix. Kann somit sein, das je nach dem, was Sie konfiguriert haben, nun entsprechend andere Meldungen auftauchen.
Mit freundlichen Grüßen

Mario Rhein
Support
Tel. 04131/2401-0
Fax 04131/2401-50

Securepoint GmbH
Blecker Landstr. 28
D-21337 Lüneburg
https://www.securepoint.de

Antworten