SOPHOS UTM9 Country Blocking GeoIP nur bestimmte Ports nicht alle Ports
Aus znilwiki
Changelog:
- 30.04.2021 erste Version
Problem
Ich habe einen Mailserver hinter einer SOPHOS UTM 9 Firewall. In vielen anderen Bereichen nutze ich schon Intensiv ein Geo-Blocking.
Diese Webseite zum Beispiel ist weltweit erreichbar, meine Management-Seite aber nur aus Deutschland.
Wie man das ganze z.B. mit Apache2 direkt auf dem Webserver einrichtet habe ich hier beschrieben: Apache2 Ubuntu 20.04 GeoIP Blocking einrichten
Wie man es auf einer pfSense gezielt für einzelne Dienste/Ports nutz habe ich hier beschrieben: pfsense - GeoIP Blocking auf bestimmte Ports oder Dienste IPv4 IPv6
Bei meinem Mailserver will ich aber zum Beispiel außer aus Deutschland niemand auf das Webinterface lassen, Port 80 und 443 in diesem Fall.
ABER natürlich soll der SMTP-Empfänger auf der gleichen öffentlichen IP weiter funktionieren - und dazu muss der ohne Einschränkungen erreichbar sein.
Nachfolgend beschreibe ich wie ich es hinbekommen habe.
Aktivieren des Country Blocking
Aktiviert wird es im Seitenmenü Network Protection => Firewall:
Danach kann man darunter für alle Länder einstellen ob diese geblockt werden sollen oder nicht.
- From blockt alle Zugriff von diesem Land (Empfangsrichtung)
- To blockt alle Zugriffe zu diesem Land (Senderichtung)
- All dementsprechend alles von und zu diesem Land
- Off nichts wird geblockt - freier Zugriff
Ich habe in meinem Fall überall From eingestellt, außer für Deutschland:
Das ist jetzt schon sofort aktiv - ab diesem Moment ist also die Webseite, aber auch der SMTP-Server nur noch aus Deutschland erreichbar.
Einzelne Dienste / Ports erlauben
Die Strategie in diesem Fall hier ist das wir alle anderen Länder zunächst verboten haben - und nun Ausnahmen einrichten.
Dazu gibt es den Reiter Country Blocking Exceptions.
SMTP von überall erlauben
Dazu wechseln wir einen Reiter weiter zu Country Blocking Exceptions und auf den Button + New Exception List...
Wir geben der Exception List einen Namen, stellen bei Skip blocking of these All regions ein, For all request auf coming from these - wir erinnern uns, zuvor haben wir From als Blocker genutzt.
Ganz unten dann die Services (=Ports), in diesem Fall SMTP
Speichern und das war es schon!
Ihr müsst nur sicherstellen das die Regel aktiv ist:
Das sieht jetzt ein wenig wie ein Fehler aus - bei Skip blocking of these haben wir ja nichts ausgewählt, also keine Länder angehakt. Warum auch immer, wenn man nichts anhakt geht es aber auch. Das scheint dann "alle" zu entsprechen. Wenn man da Haken setzt geht es NICHT. Kann auch sein das es ein Fehler ist.
Also ich habe mir extra einen Server in Kanada angemietet (OVH) und mit gesetzten Haken habe ich es in keiner Konfiguration zum laufen bekommen.
Bestimmten internen Host ausklammern
Um - warum auch immer - Zugriffe zu einem bestimmten internen Host nicht zu blocken würde man wie folgt vorgehen:
Im Prinzip wie zuvor:
nur das wir diesmal going ti these gewählt haben und dort unseren Zielhost hinterlegen, Protokoll 'Any