GeoIP und legale internationale Zugriffe

[Piepnase]

Hallo zusammen,
wenn man auf einem Server Seiten hostet, die legale internationale Zugriffe haben, kann man GeoIP nicht einsetzen, ohne damit potentielle Echtkunden auszusperren, richtig?

Eigentlich möchte ich China, Taiwan, Korea, Indien und verschiedene arabische Länder aussperren, weil von dort laut Logfiles viel schlechtes Zeug probiert wird. Russland geht nicht, da kommen Echtkunden her. Habe fail2ban und auch denyhosts laufen, aber das ist natürlich so effektiv, wie das Suchen einer Nadel im Heuhaufen
Kann man sonst was machen außer sich mit den Logfile Einträgen abzufinden?

[Christoph Franzen]

Logwatch einsetzen und „harmlose“ Einträge wegfiltern lassen zum Beispiel. Man kann neben Fail2ban und Denyhosts auch eigene Firewall-Scripte laufen lassen.

Es gibt da zum Beispiel den „Recent”-Mechanismus: wenn in N Sekunden mehr als X Fehlversuche, IP für Y Minuten aussperren. Man bekommt so nur noch N Eintragungen je Y Minuten pro Brute-Force-Angriff.

[Piepnase]

Logwatch läuft und iptables auch. Im Zusammenhang mit GeoIP habe ich gesehen, dass man in iptables auch entsprechende Regeln definieren kann. Ich werde mir GeoIP doch noch mal anschauen und ggf. nur die Länder aussperren, die völlig abwegig sind als echte Kunden. Den Recent Mechanismus habe ich schon eingerichtet, ansonsten hätte ich vermutlich noch mehr in den Logfiles. Schön wäre natürlich, die "Schurken" komplett außen vor halten zu können. Aber das ist wohl utopisch.

[Christoph Franzen]

Im Zusammenhang mit GeoIP habe ich gesehen, dass man in iptables auch entsprechende Regeln definieren kann. Ich werde mir GeoIP doch noch mal anschauen und ggf. nur die Länder aussperren, die völlig abwegig sind als echte Kunden.

Von GeoIP halte ich persönlich gar nichts. Das ganze Konzept ist voll für den Allerwertesten, wenn Du mich fragst. Als Netaachen-Kunde wohne ich laut Geoip zur Zeit angeblich in Köln; als ich beim IN-Berlin war, was später leider nicht mehr ging, war ich angeblich Berliner. Ob wohl noch immer alle AOL-Kunden Amis sind? Vergiß das einfach! Wer sich das ausgedacht hat, sollte eine nordkoreanische oder saudische IP zwangszugewiesen bekommen und hinter die große Firewall gesperrt werden, damit er das freie Internet nicht mehr mit seiner territorialprinzipiellen Ketzerei infizieren kann.

Den Recent Mechanismus habe ich schon eingerichtet, ansonsten hätte ich vermutlich noch mehr in den Logfiles.

Das ist sehr schön, ich hatte schon befürchtet, das als nächstes raussuchen zu müssen, auswendig weiß ich das nämlich nicht mehr…

Schön wäre natürlich, die "Schurken" komplett außen vor halten zu können. Aber das ist wohl utopisch.

Das wird nicht gehen; Du wirst vielleicht nicht einmal verhindern können, daß es von denen mal jemand auf Deinen Rechner schafft.

[rendegast]

Als Netaachen-Kunde wohne ich laut Geoip zur Zeit angeblich in Köln; als ich beim IN-Berlin war, was später leider nicht mehr ging, war ich angeblich Berliner.

Aber immer eine IP aus DE.

[Christoph Franzen]

Als Netaachen-Kunde wohne ich laut Geoip zur Zeit angeblich in Köln; als ich beim IN-Berlin war, was später leider nicht mehr ging, war ich angeblich Berliner.

Aber immer eine IP aus DE.

Ich behaupte mal unbewiesen: nur weil das vergleichsweise kleine Klitschen sind, die vollständig in einem Staat liegen.

Netcologne hat sich ja nicht nur die Accom unter den Nagel gerissen und in Netaachen umbenannt, sondern zuvor schon Westend. Wenn die sich also einst entschließen sollten, über das erfolglose Gewerbegebiet „Avantis“ nach Kerkrade rüberzuwuchern, wohnen eines Tages auch ein paar Niederländer in Köln.

Ob $WELTKONZERN seine IP-Sammlung irgendwie regional logisch aufteilt oder ganz willkürlich welche zufällig „auf Zuruf“ zuteilt ist ebensowenig vorhersagbar. Mag sein, daß sie wegen der realen Existenz von Geoip irgendwelchem damit zusammenhängenden Ärger aus dem Wege gehen wollen und deshalb „Länderbereiche“ vergeben – oder auch nicht. AOL hatte ich nicht umsonst erwähnt: es war jedenfalls mal so, daß die US-Bereiche auch in DE vergeben haben, mag sein, daß sie sich inzwischen bei RIPE dafür bedient oder alternativ einen wohldefinierten Bereich für Europa „abgespalten“ haben: wissen tu ich das nicht und das Grundproblem ist doch hinreichend illustriert. Man braucht im Extremfall eine stets aktuelle Datenbank, wo zu jeder einzelnen IP der Ort drinsteht, an dem sie gerade genutzt wird. So ein Konzept war beim Telefon-Festnetz mal sinnvoll, als die Ziffernfolgen noch die Wege zwischen den Vermittlungsstellen bedeutet haben und die auch nicht mal einfach rumgewandert sind.

[Christoph Franzen]

Noch ein Indiz dafür gefällig, daß Geoip Moppelkotze ist: „http://heise.de/-2648008“?

[rendegast]

Noch ein Indiz dafür gefällig, daß Geoip Moppelkotze ist: „http://heise.de/-2648008“?

Ist kein Argument, wird halt die Datenbank aktualisiert, 'update-geoip-database' aus geoip-database-contrib + Lizenzschlüssel.
Machst Du kein tägliches 'apt-get update'?

[AndreK]

Noch ein Indiz dafür gefällig, daß Geoip Moppelkotze ist: „http://heise.de/-2648008“?

Aber GeoIP ist mittlerweile sehr beliebt bei den Berufs- und vielen Hobbywebserverbetreibern. Neulich wollte ich Heidi Klumm auf http://blick.ch betrachten, was mir nicht gelang "Der Inhalt ist für Besucher aus Deutschland gesperrt." las ich. Umgekehrt kann ich mir aus der Schweiz das gesamte "nackte" Angebot von http://www.bild.de ansehen.

Schlimmer sind da neuerdings häufiger - vermutlich - politische Sperrungen in Foren. In einem US Forum wollten die mich nicht, weil aus Deutschland. Das hat der Admin auch klar benannt. Das war ein Forum inhaltlich verwandt mit einem Kaninchen- oder Katzenforum, also völlig unpolitisch. Das ist auch einer Kollegin mit einem Forum in England passiert, Das war aber kein Forum auf dem inhaltlichen Niveau eines Katzenforum, sondern ein Musikforum.

[Christoph Franzen]

Noch ein Indiz dafür gefällig, daß Geoip Moppelkotze ist: „http://heise.de/-2648008“?

Ist kein Argument, wird halt die Datenbank aktualisiert,

Doch, ist es, weil wir uns immer mehr dem „Extremfall“ annähern, daß man jede IP einzeln nachschlagen muß und immer schwieriger an die korrekte Information drankommt.
Letzendlich weiß doch nur derjenige, der die IP gerade hat, an welchem Ort sie genutzt wird. Da wird wider besseres Wissen einfach mal so getan, als wäre die Datenbank „genau genug“. Das wäre sie wohl, wenn es nur darum ginge, in der Nutzungsstatistik bunte Fähnchen anzuzeigen.
Schon hier sieht man, daß es eigentlich nicht funktioniert: http://imgs.xkcd.com/comics/map_of_the_internet.jpg. So hat es sich dann weiterentwickelt: http://www.isi.edu/ant/address/.
Schlimm genug, daß das insbesondere von Rechteinhabern oder auf deren Betreiben hin mißbraucht wird, um das weltweite Netz nationalstaatlich einuzuzäunen, siehe weiter unten in dieser Diskussion: man wird nicht nur ausgesperrt, sondern auch noch willkürlich auf Grund fehlerhafter Daten. Wer sich auskennt, kann das aufwendig umgehen und alle anderen schauen halt in die Röhre.

Machst Du kein tägliches 'apt-get update'?

Nö, so häufig nicht, beziehungsweise hilft Update alleine ja nicht und automatisch installieren tue ich vorsichtshalber nichts.