Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??  (gelezen 5179 keer)

Offline andre-nl

  • Lid
  • Steunpunt: Nee
UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Gepost op: 2010/10/23, 18:51:24 »
Ls

ik wordt al maanden lang lastig gevallen door een IP reeks 91.178.x.x  (x = veranderd elke keer)
nu heb ik al een mega lijst met allemaal IP adressen die ik blokkeer in in de "before.rules"  maar dat helpt 4 uurtjes
en dan komt het IP terug met een ander IP, dus dacht ik oke ik blokkeer alles in 1x gehele reeks maar dat werkt niet ?
ik heb in terminal scherm er bij gezet Sudo ufw deny from 91.178.0.0/24 to any port xxxxxx (x= de poort waarop ik lastig gevallen wordt)
als ik ufw status doe zie ik ook netjes dat hij actief er bij staat maar helaas wordt ik nog steeds lastig gevallen door deze "hacker"   ???

hoe kan ik in 1x gehele reeks 91.178. blokkeren wie heeft de gouden tip :(

Andre

PS: ik heb ufw gestopt/gestart ofcourse als test of daarom de regel niet werkt .


Offline Gijsbert

  • Lid
  • Steunpunt: Ja
In der Beschränkung zeigt sich der Meister.

Offline andre-nl

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #2 Gepost op: 2010/10/23, 19:10:13 »
Kijk hier eens http://wiki.ubuntu-nl.org/community/UbuntuFirewall

Gijs daar had ik deze regel ook vandaan  ;) alleen het lijkt er op dat ik wat verkeerd doe of regel die ik in mijn topic heb staan
toch iets anders moet  ik dacht dat ik met /24 namelijk deze reek geheel zou pakken (ik vermoed dat daar ergens fout gaat).

mvg
Andre

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #3 Gepost op: 2010/10/23, 19:12:22 »
sudo ufw deny in from 91.178.0.0/16 to any

Dit zou moeten werken, als het goed is.

Offline andre-nl

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #4 Gepost op: 2010/10/23, 19:16:41 »
sudo ufw deny in from 91.178.0.0/16 to any

Dit zou moeten werken, als het goed is.

91.178.0.0/16 to any port xxxxxx  is ook goed want hij "hackt"  maar 1 port bij mij namelijk
maar dan dan heeft het met netwerk klasse te maken soms /24 en /16 is daar misschien ook iets van op internet te vinden ?
maar Johan ik ga dit direct proberen bedankt man !, indien niet zou werken update ik dit topic.

mvg
Andre

Offline Ron

  • Forumteam
    • r0n
    • Dwarsligger
  • Steunpunt: Ja
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #5 Gepost op: 2010/10/23, 19:19:25 »
Kleine uitleg:
Elk getal is maximaal 255, dus bestaat uit 8 bits.
Het getal achter de "/" geeft het aantal bits aan, waarvoor de regel geldt.
De /16 gaat dus op voor 91.178.*.*
Hopelijk is het nu duidelijker ?
OpenStandaard evangelist, OpenSource promotor, OpenData liefhebber.
Xubuntu gebruiker en voorstander (XFCE).
In Nederland bekend als een dwarsligger.

Offline andre-nl

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #6 Gepost op: 2010/10/23, 19:22:20 »
Kleine uitleg:
Elk getal is maximaal 255, dus bestaat uit 8 bits.
Het getal achter de "/" geeft het aantal bits aan, waarvoor de regel geldt.
De /16 gaat dus op voor 91.178.*.*
Hopelijk is het nu duidelijker ?
Ron,

als ik het goed begrijp is het dan 2x 255 dus 16 1x 255 zou 8 zijn.
Begrijp ik het zo goed Ron ?.
Bedankt alsvast voor het lezen en de tijd  ^-^

Andre

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #7 Gepost op: 2010/10/23, 19:27:58 »
Je kan even googlen op "CIDR notatie".
Dat is de term die je zoekt denk ik.

Offline Ron

  • Forumteam
    • r0n
    • Dwarsligger
  • Steunpunt: Ja
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #8 Gepost op: 2010/10/23, 19:33:29 »
Blijkbaar ben ik niet duidelijk genoeg :lol:
Uitgaande van het IP adres:
91.178.0.0/8  blokkeert 91.*.*.*
91.178.0.0/16 blokkeert 91.178.*.*
91.178.0.0/24 blokkeert 91.178.0.*

De "/8" geeft aan, dat de regel alleen voor de eerste 8 bits geldt (91.*.*.*)
De "/16" geeft aan, dat de regel alleen voor de eerste 16 bits geld (91.178.*.*)
De "/24" geeft aan, dat de regel alleen voor de eerste 24 bits geld (91.178.0.*)

Volgens mij begrijpen we elkaar André ............
OpenStandaard evangelist, OpenSource promotor, OpenData liefhebber.
Xubuntu gebruiker en voorstander (XFCE).
In Nederland bekend als een dwarsligger.

Offline andre-nl

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #9 Gepost op: 2010/10/24, 17:16:18 »
Helaas:  :'( :'( :'(

de regel zit er in is actief maar opnieuw wordt ik gewoon lastig gevallen door 91.178.x.x
vandaag is het een 91.178.244.155 IP dat weer mij al de gehele dag lastig valt hoe kan dit nu ???
want ik heb echt de regels actief (zie bijlage)... HELP ???


Andre

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #10 Gepost op: 2010/10/24, 17:28:25 »
Waarom heb je nou een hoop essentiële informatie weggeblokt?
Waarschijnlijk is 1 van de bovenste regels het probleem. Als je daar iets toestaat wordt de rest van de regels niet meer gecontroleerd en wordt het verkeer toegestaan.

Plaats eens de volledige uitvoer van het volgende commando:
sudo ufw status verbose

Hopelijk wordt het dan duidelijker waarom het niet werkt.

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #11 Gepost op: 2010/10/24, 17:38:28 »
Waarom heb je nou een hoop essentiële informatie weggeblokt?
Waarschijnlijk is 1 van de bovenste regels het probleem. Als je daar iets toestaat wordt de rest van de regels niet meer gecontroleerd en wordt het verkeer toegestaan.

Plaats eens de volledige uitvoer van het volgende commando:
sudo ufw status verbose

Hopelijk wordt het dan duidelijker waarom het niet werkt.

+1
Standaard valkuil.
Deny (of drop) regels altijd vooraan zetten..............
There are only 10 types of people in the world; those who understand binary and those who don't.

Offline andre-nl

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #12 Gepost op: 2010/10/24, 17:45:48 »
Waarom heb je nou een hoop essentiële informatie weggeblokt?
Waarschijnlijk is 1 van de bovenste regels het probleem. Als je daar iets toestaat wordt de rest van de regels niet meer gecontroleerd en wordt het verkeer toegestaan.

Plaats eens de volledige uitvoer van het volgende commando:
sudo ufw status verbose

Hopelijk wordt het dan duidelijker waarom het niet werkt.

+1
Standaard valkuil.
Deny (of drop) regels altijd vooraan zetten..............

hallo ?.

ik ben helaas nog maar een korte tijd bezig en ik begrijp niet wat u bedoeld
kunt u mij een voorbeeld geven hoe de regel dan moet staan ?

Bedankt.

mvg
Andre

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #13 Gepost op: 2010/10/24, 17:52:46 »
De volgorde van de regels is ook belangrijk, net als de standaardactie die ingesteld is voor wanneer het verkeer aan geen enkele regel voldoet.

Is de standaardactie "toestaan", dan wordt alles toegestaan, tenzij er een regel is die dat verkeer blokkeert.
Is de standaard "blokkeren", dan wordt alles geblokkeerd, tenzij je het expliciet toestaat.
Heb je niets aan de instellingen veranderd, dan staat hij alles toe.

De volgorde van de regels is belangrijk, omdat UFW stopt met het vergelijken van de regels zodra er een match is.
Is de eerste regel die hij tegenkomt die overeenkomt met het soort pakket "toestaan", dan staat hij het toe en zoekt hij niet of er verderop nog een regel staat die het misschien blokkeert.

Offline andre-nl

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #14 Gepost op: 2010/10/24, 18:35:28 »
De volgorde van de regels is ook belangrijk, net als de standaardactie die ingesteld is voor wanneer het verkeer aan geen enkele regel voldoet.

Is de standaardactie "toestaan", dan wordt alles toegestaan, tenzij er een regel is die dat verkeer blokkeert.
Is de standaard "blokkeren", dan wordt alles geblokkeerd, tenzij je het expliciet toestaat.
Heb je niets aan de instellingen veranderd, dan staat hij alles toe.

De volgorde van de regels is belangrijk, omdat UFW stopt met het vergelijken van de regels zodra er een match is.
Is de eerste regel die hij tegenkomt die overeenkomt met het soort pakket "toestaan", dan staat hij het toe en zoekt hij niet of er verderop nog een regel staat die het misschien blokkeert.
Hallo Johan,

Betekend dit dat ik alle regels moet verwijderen.
en dan handmatig opnieuw moet invullen ?, want het lastige er aan dat je niet terug kan vinden in een file zo als before.rules.
Is hier niet wat mee te doen ?,  misschien is dit vragen naar de bekende weg maar een leek als ik wordt helaas lastig gevallen
en mijn kennis is niet voldoende om deze klote "hack"  tegen te houden want ik heb inmiddels in before.rules 60 IP adressen staan allemaal met 91.178
ik weet niet waar de ip adressen vandaan halen maar blijkbaar is dit geen probleem ?.

mvg
Andre

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #15 Gepost op: 2010/10/24, 18:43:45 »
Die before.rules en andere configuratiebestanden van UFW zou je niet aan moeten passen.
Nergens voor nodig in dit geval, en bij verkeerd gebruik kan het zelfs contraproductief zijn.

Je kan met "sudo ufw insert <regelnummer> <regel>" een regel op een hogere plaats invoegen.


Het handigste is denk ik om eens helemaal schoon te beginnen met UFW. Zet alle bestanden dus weer terug naar hun oorspronkelijke staat en verwijder alle regels.

Zet de firewall tijdelijk uit, desnoods verbreek je eerst de internetverbinding.
sudo ufw disable

Zet de standaardactie op DENY:
sudo ufw default deny

Voeg je blokkeerregels toe:
sudo ufw deny in from 91.178.0.0/16 to any
enz.

Hierna de dingen die je WEL wil toestaan.
sudo ufw allow XYZ

Zet UFW aan:
sudo ufw enable

Verder ben ik wel heel erg benieuwd naar het soort aanvallen wat je ziet, op welke service die gericht zijn en waarom die aanvallen gebeuren.

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #16 Gepost op: 2010/10/24, 20:55:53 »
Overigens is er ook een grafisch programma: GUFW.
Dat zal het instellen misschien wat makkelijker maken.

In onze documentatie op de wiki is ook wel een handleiding te vinden voor UFW.

Offline andre-nl

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #17 Gepost op: 2010/10/24, 21:15:52 »
Overigens is er ook een grafisch programma: GUFW.
Dat zal het instellen misschien wat makkelijker maken.

In onze documentatie op de wiki is ook wel een handleiding te vinden voor UFW.

Johan,

dat was net mijn volgende vraag  :D
GUFW werkt deze met de instellingen die ik al gezet heb met ufw ?.
dat zou perfect zijn ivm aanpassen en alles recht zetten.

Andre

Offline ivo

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #18 Gepost op: 2010/10/24, 21:29:58 »

dat was net mijn volgende vraag  :D
GUFW werkt deze met de instellingen die ik al gezet heb met ufw ?.
dat zou perfect zijn ivm aanpassen en alles recht zetten.

Andre


Ja, die pakt die instellingen.
There are only 10 types of people in the world; those who understand binary and those who don't.

Offline Mikkel

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #19 Gepost op: 2010/10/24, 23:22:01 »
vandaag is het een 91.178.244.155 IP dat weer mij al de gehele dag lastig valt hoe kan dit nu ???

Heb je dat IP-adres al eens ingevoerd in menu Systeem, Beheer, Netwerkhulpmiddelen, tabblad Whois?

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '91.178.240.0 - 91.178.255.255'

inetnum:        91.178.240.0 - 91.178.255.255
netname:        BE-BELGACOM-ADSL1
descr:          ADSL-GO-PLUS
descr:          Belgacom ISP SA/NV
country:        BE
admin-c:        SN2068-RIPE
tech-c:         SN2068-RIPE
remarks:        rev-srv:        ns1.skynet.be
remarks:        rev-srv:        ns2.skynet.be
remarks:        rev-srv:        ns3.skynet.be
remarks:        rev-srv:        ns4.skynet.be
status:         ASSIGNED PA
mnt-by:         SKYNETBE-MNT
mnt-by:         SKYNETBE-ROBOT-MNT
source:         RIPE # Filtered
remarks:        rev-srv attribute deprecated by RIPE NCC on 02/09/2009

role:           Skynet NOC administrators
address:        Belgacom SA de droit public
address:        ANS/ROC/RNO/IEC - TGX Building
address:        Boulevard du Roi Albert II, 27
address:        B-1030 Bruxelles
address:        Belgium
phone:          +32 2 202-4111
fax-no:         +32 2 203-6593
abuse-mailbox:  abuse@skynet.be
admin-c:        BIEC1-RIPE
tech-c:         BIEC1-RIPE
nic-hdl:        SN2068-RIPE
remarks:        ******************************************
remarks:        Abuse notifications to: abuse@belgacom.be
remarks:        Abuse mails sent to other addresses will be ignored !
remarks:        ******************************************
remarks:        Network problems to: noc@skynet.be
remarks:        Peering requests to: peering@skynet.be
mnt-by:         SKYNETBE-MNT
source:         RIPE # Filtered

% Information related to '91.176.0.0/14AS5432'

route:          91.176.0.0/14
descr:          SKYNETBE-CUSTOMERS
origin:         AS5432
mnt-by:         SKYNETBE-MNT
source:         RIPE # Filtered

Een mailtje naar abuse@belgacom.be is misschien het overwegen waard?
« Laatst bewerkt op: 2010/10/24, 23:32:27 door Mikkel »

Offline andre-nl

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #20 Gepost op: 2010/10/25, 17:40:06 »
vandaag is het een 91.178.244.155 IP dat weer mij al de gehele dag lastig valt hoe kan dit nu ???

Heb je dat IP-adres al eens ingevoerd in menu Systeem, Beheer, Netwerkhulpmiddelen, tabblad Whois?

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '91.178.240.0 - 91.178.255.255'

inetnum:        91.178.240.0 - 91.178.255.255
netname:        BE-BELGACOM-ADSL1
descr:          ADSL-GO-PLUS
descr:          Belgacom ISP SA/NV
country:        BE
admin-c:        SN2068-RIPE
tech-c:         SN2068-RIPE
remarks:        rev-srv:        ns1.skynet.be
remarks:        rev-srv:        ns2.skynet.be
remarks:        rev-srv:        ns3.skynet.be
remarks:        rev-srv:        ns4.skynet.be
status:         ASSIGNED PA
mnt-by:         SKYNETBE-MNT
mnt-by:         SKYNETBE-ROBOT-MNT
source:         RIPE # Filtered
remarks:        rev-srv attribute deprecated by RIPE NCC on 02/09/2009

role:           Skynet NOC administrators
address:        Belgacom SA de droit public
address:        ANS/ROC/RNO/IEC - TGX Building
address:        Boulevard du Roi Albert II, 27
address:        B-1030 Bruxelles
address:        Belgium
phone:          +32 2 202-4111
fax-no:         +32 2 203-6593
abuse-mailbox:  abuse@skynet.be
admin-c:        BIEC1-RIPE
tech-c:         BIEC1-RIPE
nic-hdl:        SN2068-RIPE
remarks:        ******************************************
remarks:        Abuse notifications to: abuse@belgacom.be
remarks:        Abuse mails sent to other addresses will be ignored !
remarks:        ******************************************
remarks:        Network problems to: noc@skynet.be
remarks:        Peering requests to: peering@skynet.be
mnt-by:         SKYNETBE-MNT
source:         RIPE # Filtered

% Information related to '91.176.0.0/14AS5432'

route:          91.176.0.0/14
descr:          SKYNETBE-CUSTOMERS
origin:         AS5432
mnt-by:         SKYNETBE-MNT
source:         RIPE # Filtered

Een mailtje naar abuse@belgacom.be is misschien het overwegen waard?

klopt en ook gedaan, kreeg een mailtje met 3 zinnen terug dat ze het gingen onderzoeken.
En zou ik valse beschuldigen maken dat alle kosten op mij verhaald zouden worden.
Kortom ook een erg motiverende mail of niet dan ?.

maar goed tot nu toe hebben ze gewoon geen (censuur)  gedaan

Andre

Offline Mikkel

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #21 Gepost op: 2010/10/25, 20:12:31 »
...... kreeg een mailtje met 3 zinnen terug dat ze het gingen onderzoeken.
En zou ik valse beschuldigen maken dat alle kosten op mij verhaald zouden worden.
Kortom ook een erg motiverende mail of niet dan ?

Heeeeeeeeeel vriendelijk, maar niet heus. Mochten ze ontkennen dat zij 'de dader' zijn, dan heb je toch wel een lijstje voor ze met dag en tijd waarop er aan de deur gerammeld werd, neem ik aan? ;)

Offline andre-nl

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #22 Gepost op: 2010/10/25, 20:20:43 »
...... kreeg een mailtje met 3 zinnen terug dat ze het gingen onderzoeken.
En zou ik valse beschuldigen maken dat alle kosten op mij verhaald zouden worden.
Kortom ook een erg motiverende mail of niet dan ?

Heeeeeeeeeel vriendelijk, maar niet heus. Mochten ze ontkennen dat zij 'de dader' zijn, dan heb je toch wel een lijstje voor ze met dag en tijd waarop er aan de deur gerammeld werd, neem ik aan? ;)

ongeveer 60 tot 80 ip adressen en ik denk een mb of 9 aan log files elke 3 seconden meld hij zich helaas.

Andre

Offline andre-nl

  • Lid
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #23 Gepost op: 2010/10/25, 20:46:36 »

iemand een TIP ik heb GUFW actief gezet en dan zou je de regels moeten kunnen aanpassen.
maar alle regels die ik via sudo commando in terminal scherm heb gezet zijn licht grijs, iemand een idee ?

Andre

Ps: zie bijlage...

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Re: UFW: hoe kan ik in hemelsnaam een ip reeks blokkeren ??
« Reactie #24 Gepost op: 2010/10/25, 21:14:33 »
Heb je alle configuratiebestanden al eens terug gezet naar de standaardwaarden?
Dus even helemaal opnieuw beginnen, bij het begin?
Je hebt nu op allerlei plekken allerlei instellingen aangepast, en wij hebben geen idee waar en wat.
Wij kunnen ook niet zien welke instellingen je er in hebt gezet en of die misschien de boosdoener zijn...

Als je niet overnieuw wilt beginnen, maak dan eens bekend wat je overal ingesteld hebt.
Plaats de inhoud eens hier, dan kijken we met je mee. De inhoud van alle configuratiebestanden van UFW is dan belangrijk.

En stop eens met het wegblokken van essentiële informatie. Hoe kunnen we je nou helpen als je maar gedeeltelijke configuraties post, en dan ook nog het belangrijkste achter een zwart blokje verstopt?