Проброс портов, pfBlockerNG, GeoIP

Uranus

Доброго времени суток дамы и господа!

Возникла не совсем понятная для меня проблема.

Суть вот в чём, решил сделать ограничение на доступ к одному из моих ресурсов (не суть важно какому, WEB серверу или TS серверу, или ещё чему), разрешить доступ только для некоторых стран, для доступа к ресурсам нужен проброс портов.
Для начала с помощью pfBlockerNG сделал alias со списком всех разрешённых стран (точнее списком их IP), затем в GUI создал правило для проброса порта и указал там как Source этот alias, соответственно автоматически создалось разрешающее правило и Firewall-Rules.

В принципе всё работает, но есть некоторые непонятные мне проблемы проблемы, в общем они сводятся к тому что некоторые IP из разрешённых стран не могут зайти на сервер, а некоторые IP из не разрешённых наоборот заходят.

Вот скажем примеры:
Имеется IP (178.175.251.31) Молдова, стране разрешён доступ, в alias имеется CIDR 178.175.192.0/18 куда входит данный IP, но пока явно не укажешь этому IP разрешение или же не уберёшь вообще ограничение по странам, этот IP не может попасть на мой сервер.
С другой стороны как я и писал, есть некоторые IP из не разрешённых стран, которые наоборот проходят.

Вот пример, но тут путаница с тем кому принадлежит IP 93.170.210.106, некоторые сервера считают что это Австралия, а некоторые что это Узбекистан, по крайней в списке адресов Узбекистана есть CIDR 93.170.208.0/22 куда входит спорный IP.

Вот собственно, хотелось бы понять в чём проблема, почему то у меня есть ощущение что я просто где то банально ошибся, но не могу понять где…

werter

Добрый.

Можно скрин правил fw на WAN?

Вот пример, но тут путаница с тем кому принадлежит IP 93.170.210.106, некоторые сервера считают что это Австралия, а некоторые что это Узбекистан, по крайней в списке адресов Узбекистана есть CIDR 93.170.208.0/22 куда входит спорный IP

Ни то и ни другое. Чехия, например :) https://bgp.he.net/AS43533#_prefixes Перипетии регистрации компании-владельца AS (?)

Upd. Все верно. bgp.he.net (снова) не подвел (за что в закладках уж лет 5 и живет). Чехия - http://www.ipdeny.com/ipblocks/data/aggregated/cz-aggregated.zone (93.170.0.0/15)

Upd2.

Имеется IP (178.175.251.31) Молдова, стране разрешён доступ, в alias имеется CIDR 178.175.192.0/18 куда входит данный IP, но пока явно не укажешь этому IP разрешение или же не уберёшь вообще ограничение по странам, этот IP не может попасть на мой сервер.

Не суть важно, но для порядку диапазон 178.175.128.0/17 судя по http://www.ipdeny.com/ipblocks/data/aggregated/md-aggregated.zone

Попробуйте обойтись без пфблокера и руками создать ip list-ы необходимых вам стран в Алиасах пф, основываясь на http://www.ipdeny.com/ipblocks . После использовать их в правилах fw. В Алиасах должен быть тип для этого, подтягивающий список ip по url автоматом.

После создания правил еще бы Reset states сделать для чистоты эксперимента.

Uranus

Хмм…, хорошо, попробую сегодня глянуть, просто у меня уже был pfBlockerNG, он вроде тоже и обновлять CIDR стран позволяет (свои предоставляет), про ваш сайт я не знал, потому и решил не мучаться и работать с тем что есть.

UPD

Неа, с alias через url с вашего сайта тоже самое, этот IP не может зайти, то есть ничего не изменилось.
Вот скрин FW для основного канала, резервные настроены аналогично:
Там как alias ещё указан старый список, но с новым скрин не измениться.

FWTS.png_thumb

werter

Добрый.
Мил человек, а чего Dst в правиле Any ? По всем правилам там должен быть WAN addr.

Cкрин правил fw на WAN, пож-та. Всех. А не тот кусочек, что вы показали, т.к. даже в нем есть ошибка.

Uranus

@werter:

Добрый.
Мил человек, а чего Dst в правиле Any ? По всем правилам там должен быть WAN addr.

Cкрин правил fw на WAN, пож-та. Всех. А не тот кусочек, что вы показали, т.к. даже в нем есть ошибка.

Мил человек…, даже если это и ошибка..., но это правило работает уже более 2 лет, конечно я могу поправить (и скорее всего поправлю).
Вот вам общая закладка Port Forwading.
Если я чего то не до понял и не то показал, уточняйте.

FWALL.png_thumb

werter

Cкрин правил fw на WAN-ах. Третий и последний раз. Что ж так туго-то :'(

Uranus

@werter:

Cкрин правил fw на WAN-ах. Третий и последний раз. Что ж так туго-то :'(

Звиняй, туплю что-то :)
Вам общий скрин Firewall-Rules-Wan или конкретно на проброшеные правила ?

werter

общий скрин Firewall-Rules-Wan

Uranus

Вот

FWWAN1.png_thumb

werter

Желтым - правила откл, выделенное красным - объясните для чего ? А впрочем не объясняйте - откл. и его.
И еще. Есть ли правила во Флоатинг рулез? Если есть - скрин.
У вас же 2 ВАНА ? На 2-ом - такая же "красота"? Исправляйте и на нем.

После всех правок - Reset states. Обязательно.

![2018-03-02 17_15_38.png](/public/imported_attachments/1/2018-03-02 17_15_38.png)
![2018-03-02 17_15_38.png_thumb](/public/imported_attachments/1/2018-03-02 17_15_38.png_thumb)

Uranus

Да…, жёлтые это избыточные правила, я их включаю порой при DDOS атаках, так они обычно отключены, выделенное тоже, там в Адвансах ограничение на кол-во соединений по TCP, на предмет если будут DDOS-ить на какой то порт который я забыл закрыть, страховка на всякий случай.
Да на втором канале такая же фиговина, но там эти правила выключены.

Вот правила Float:

Float1.png_thumb

Float2.png_thumb

werter

Все правила во флоатинг, созданные руками - откл. У вас там - каша. Сперва с обычными разберитесь, а вас уже во флоатинг понесло. У них и специфика работы - особенная.
Не создавайте там ничего руками.

Да…, жёлтые это избыточные правила, я их включаю порой при DDOS атаках, так они обычно отключены, выделенное тоже

страховка на всякий случай.

И вот без этого тоже. Для пф правила - это явный и четкий посыл к действиям. Ему вы "страховка, всякий случай, потом откл\вкл и т.д." не объясните.
Создавайте и вкл. только правила, к-ые действительно необходимы в данный момент.

Таким образом, у вас останутся правила, созданные пфблокер-ом + правила портфорвардинга. Проверяете это. Перезагружаете пфсенсе. Ждете атаки.

Uranus

@werter:

Все правила во флоатинг, созданные руками - откл. У вас там - каша. Сперва с обычными разберитесь, а вас уже во флоатинг понесло. У них и специфика работы - особенная.
Не создавайте там ничего руками.

Да…, жёлтые это избыточные правила, я их включаю порой при DDOS атаках, так они обычно отключены, выделенное тоже

страховка на всякий случай.

И вот без этого тоже. Для пф правила - это явный и четкий посыл к действиям. Ему вы "страховка, всякий случай, потом откл\вкл и т.д." не объясните.
Создавайте и вкл. только правила, к-ые действительно необходимы в данный момент.

Таким образом, у вас останутся правила, созданные пфблокер-ом + правила портфорвардинга. Проверяете это. Перезагружаете пфсенсе. Ждете атаки.

Уважаемый, там просто избыточные правила, я знаю что по сути PF и так заблокирует весь трафик идущий на не открытый порт, уж поверьте, в 90 случаях из 100 там блокируется или фильтруется трафик идущий на некоторые периодически открываемые порты, так что всё нормально, и вообще если вы не забыли то эта темы не об атаках на TS, а об том что не пропускаются некоторые IP хотя они есть в разрешённых.