xxsteezyxx
NGBler
hallo,
also angenommen ich möchte china aussperren, wie realisiere ich dies in der htaccess? danke!
also angenommen ich möchte china aussperren, wie realisiere ich dies in der htaccess? danke!
Länder via .htaccess aussperren
- Ersteller xxsteezyxx
- Erstellt am
Am besten die USA fragen. Die sperren auch die Chinesen aus bei den Hackerkonferenzen. *scnr, bei so einer Steilvorlage* ;-)
Ja ne, ernsthaft: Ich hab mal spaßesweise "ip range china" bei Google eingegeben und das sechste Ergebnis ist ein .htaccess-"Generator", um x-beliebige Länder auszusperren. Keine Ahnung, obs funktioniert, aber bitte, vermutlich so ungefähr:
Dürfte zumindest als Denkansatz reichen. Aber auch die restlichen Ergebnisse, oder eine Kombination der Suche mit Wörtern wie ".htaccess", "block" oder vermutlich auch einem simplen "sperren" dürfte weiterhelfen und ohne den Klugscheißer raushängen lassen zu wollen, so muss ich trotzdem ausnahmsweise anmerken, daß ich da echt Eigeninitiative vermisse. So schwer ist das glaub nicht.
Ja ne, ernsthaft: Ich hab mal spaßesweise "ip range china" bei Google eingegeben und das sechste Ergebnis ist ein .htaccess-"Generator", um x-beliebige Länder auszusperren. Keine Ahnung, obs funktioniert, aber bitte, vermutlich so ungefähr:
You do not have permission to view link please Anmelden or Registrieren
Dürfte zumindest als Denkansatz reichen. Aber auch die restlichen Ergebnisse, oder eine Kombination der Suche mit Wörtern wie ".htaccess", "block" oder vermutlich auch einem simplen "sperren" dürfte weiterhelfen und ohne den Klugscheißer raushängen lassen zu wollen, so muss ich trotzdem ausnahmsweise anmerken, daß ich da echt Eigeninitiative vermisse. So schwer ist das glaub nicht.
xxsteezyxx
NGBler
- Thread Starter Thread Starter
- #3
ok, aber ich dachte da so eher an länderkennungen und keine ip-ranges...
Wie willst du denn die Länder erkennen, außer über die IP? Die Spracheinstellungen vom Browser dürften wohl kaum geeignet sein. IP basiert ist die Ländererkennung noch am zuverlässigsten, wenn auch nicht immer 100% korrekt.
Die Idee mit GeoIP-Datenbanken ist zwar nett, aber skaliert nicht gut. Du müsstest für jeden Aufruf/ jede Session prüfen, ob ein Nutzer mit einer gültigen IP-Adresse unterwegs ist. Dann lieber hard coded aber dafür "billigere" Rechenzeitkosten.
@MSX: Ich kann das Anliegen des TS vollkommen verstehen, der meiste Spam den ich registriere, kommt aus chinesischen Netzen. Egal ob das nun billige Hackversuche von Webseiten sind, Emailspam, Bruteforce auf imap oder ssh - Ports. Ob das nun alles Chinesen sind oder lediglich Hacker über deren Netze machen, spielt für einen Serveradministrator eigentlich kaum eine Rolle. Ein ungesichertes System, das von Hackern als Bot missbraucht wird, ist genauso eine Bedrohung, wie der Hacker selbst und gehört genauso ausgesperrt.
@xxsteezyxx: Kommt für dich eventuell fail2ban in Frage?
xxsteezyxx
NGBler
- Thread Starter Thread Starter
- #6
an den kennungen eben. .ru, .cn et cetera
fail2ban, eher nicht, da ich nur nutzer bin und keinen eigenen server betreibe... hosting halt...
fail2ban, eher nicht, da ich nur nutzer bin und keinen eigenen server betreibe... hosting halt...
Dir ist schon klar, dass eine Domain nur pseudo Länderspezifisch ist.
Abgesehen davon, dass es Domains gibt, die überhaupt nichts mit Ländern zu tun haben (com, net, org, biz) hat die Domain doch recht wenig mit dem Land zu tun. Die wenigsten Besitzer einer .to-Domain dürften ihre Server in Tonga stehen haben. Auch .us muss nicht auf einen Server aus den USA zeigen, nicht einmal englischen Inhalt bieten.
Alles was aus Privatnetzen kommt, wird in der Regel nicht mal eine (eigene) Domain mitliefern.
Abgesehen davon, dass es Domains gibt, die überhaupt nichts mit Ländern zu tun haben (com, net, org, biz) hat die Domain doch recht wenig mit dem Land zu tun. Die wenigsten Besitzer einer .to-Domain dürften ihre Server in Tonga stehen haben. Auch .us muss nicht auf einen Server aus den USA zeigen, nicht einmal englischen Inhalt bieten.
Alles was aus Privatnetzen kommt, wird in der Regel nicht mal eine (eigene) Domain mitliefern.
Abul
.
- Registriert
- 20 Sep. 2013
- Beiträge
- 2.742
You do not have permission to view link please Anmelden or Registrieren
oder oben aus dem Generator, was anderes fällt mir da auch nicht ein jetzt. Ist nur die Frage ob der Mod aktiviert ist und du ihn nutzen kannst.
Kugelfisch
Nerd
Interessant wäre, was du konkret bezweckst. Bedenke, dass Apaches per-Directory-Konfigurationen (.htaccess-Dateien) zwar flexibel, aber leider auch sehr ineffizient sind. Bei jedem Request müssen sie erneut gesucht, geladen und verarbeitet werden, ein Caching im Speicher ist nicht möglich, da Apache nicht zuverlässig erkennen kann, wann solch eine Datei verändert wurden (demgegenüber wird die globale Konfiguration von Apache nur einmalig beim Start geladen, oder wen Apache explizit über `service apache2 reload` o.ä. angewiesen wird, sie neu zu laden). Daher erzeugen insbesondere grosse htaccess-Dateien, wie sie der verlinkte Generator erzeugt, eine nicht zu vernachlässigende zusätzliche Serverlast.
Solltest du mit dem Geolocation-basierten Block die Last (z.B. bei (d)DoS-Angriffen) verringern wollen, wäre solch eine .htaccess-Datei daher kontraproduktiv. In solchen Fällen müssen solche Sperren mindestens auf Kernel-Ebene mittels Netfilter und ipset, im Idealfall noch vor dem eigentlichen Rechner am (Border-)Router erfolgen.
Einen Sicherheitsvorteil verschafft dir solch ein Block ebenfalls nicht, da ein Angreifer, der vom Block betroffen ist, schlicht einen beliebigen Proxy oder VPN-Dienst nutzen könnte, um ihn zu umgehen. Speziell in China würde ich aufgrund der restriktiven Filterung sogar davon ausgehen, dass IT-affine Benutzer regelmässig verschlüsselnde Tunnel nutzen.
Solltest du mit dem Geolocation-basierten Block die Last (z.B. bei (d)DoS-Angriffen) verringern wollen, wäre solch eine .htaccess-Datei daher kontraproduktiv. In solchen Fällen müssen solche Sperren mindestens auf Kernel-Ebene mittels Netfilter und ipset, im Idealfall noch vor dem eigentlichen Rechner am (Border-)Router erfolgen.
Einen Sicherheitsvorteil verschafft dir solch ein Block ebenfalls nicht, da ein Angreifer, der vom Block betroffen ist, schlicht einen beliebigen Proxy oder VPN-Dienst nutzen könnte, um ihn zu umgehen. Speziell in China würde ich aufgrund der restriktiven Filterung sogar davon ausgehen, dass IT-affine Benutzer regelmässig verschlüsselnde Tunnel nutzen.