Aktionen

SOPHOS UTM9 Country Blocking GeoIP nur bestimmte Ports nicht alle Ports

Aus znilwiki

Changelog:

  • 30.04.2021 erste Version

1 Problem

Ich habe einen Mailserver hinter einer SOPHOS UTM 9 Firewall. In vielen anderen Bereichen nutze ich schon Intensiv ein Geo-Blocking.
Diese Webseite zum Beispiel ist weltweit erreichbar, meine Management-Seite aber nur aus Deutschland.

Wie man das ganze z.B. mit Apache2 direkt auf dem Webserver einrichtet habe ich hier beschrieben: Apache2 Ubuntu 20.04 GeoIP Blocking einrichten
Wie man es auf einer pfSense gezielt für einzelne Dienste/Ports nutz habe ich hier beschrieben: pfsense - GeoIP Blocking auf bestimmte Ports oder Dienste IPv4 IPv6
Bei meinem Mailserver will ich aber zum Beispiel außer aus Deutschland niemand auf das Webinterface lassen, Port 80 und 443 in diesem Fall.
ABER natürlich soll der SMTP-Empfänger auf der gleichen öffentlichen IP weiter funktionieren - und dazu muss der ohne Einschränkungen erreichbar sein.

Nachfolgend beschreibe ich wie ich es hinbekommen habe.


2 Aktivieren des Country Blocking

Aktiviert wird es im Seitenmenü Network Protection => Firewall:

ClipCapIt-210430-162901.PNG

Danach kann man darunter für alle Länder einstellen ob diese geblockt werden sollen oder nicht.

  • From blockt alle Zugriff von diesem Land (Empfangsrichtung)
  • To blockt alle Zugriffe zu diesem Land (Senderichtung)
  • All dementsprechend alles von und zu diesem Land
  • Off nichts wird geblockt - freier Zugriff

Ich habe in meinem Fall überall From eingestellt, außer für Deutschland:

ClipCapIt-210430-164743.PNG


Das ist jetzt schon sofort aktiv - ab diesem Moment ist also die Webseite, aber auch der SMTP-Server nur noch aus Deutschland erreichbar.


3 Einzelne Dienste / Ports erlauben

Die Strategie in diesem Fall hier ist das wir alle anderen Länder zunächst verboten haben - und nun Ausnahmen einrichten.
Dazu gibt es den Reiter Country Blocking Exceptions.


3.1 SMTP von überall erlauben

Dazu wechseln wir einen Reiter weiter zu Country Blocking Exceptions und auf den Button + New Exception List...

ClipCapIt-210430-165449.PNG

Wir geben der Exception List einen Namen, stellen bei Skip blocking of these All regions ein, For all request auf coming from these - wir erinnern uns, zuvor haben wir From als Blocker genutzt.
Ganz unten dann die Services (=Ports), in diesem Fall SMTP

ClipCapIt-210430-165806.PNG

Speichern und das war es schon!
Ihr müsst nur sicherstellen das die Regel aktiv ist:

ClipCapIt-210430-165911.PNG


Das sieht jetzt ein wenig wie ein Fehler aus - bei Skip blocking of these haben wir ja nichts ausgewählt, also keine Länder angehakt. Warum auch immer, wenn man nichts anhakt geht es aber auch. Das scheint dann "alle" zu entsprechen. Wenn man da Haken setzt geht es NICHT. Kann auch sein das es ein Fehler ist.
Also ich habe mir extra einen Server in Kanada angemietet (OVH) und mit gesetzten Haken habe ich es in keiner Konfiguration zum laufen bekommen.


3.2 Bestimmten internen Host ausklammern

Um - warum auch immer - Zugriffe zu einem bestimmten internen Host nicht zu blocken würde man wie folgt vorgehen:
Im Prinzip wie zuvor:

ClipCapIt-210430-171725.PNG

nur das wir diesmal going ti these gewählt haben und dort unseren Zielhost hinterlegen, Protokoll 'Any


4 Kommentare

Kommentar hinzufügen
znilwiki freut sich über alle Kommentare. Sofern du nicht anonym bleiben möchtest, trage deinen Namen oder deine Email-Adresse ein oder melde dich an. Du kannst das Feld auch einfach leer lassen. Bei einem Kommentar wird deine IP-Adresse zusammen mit dem Text, den angegebenen Namen bzw. der Email-Adresse in der Datenbank für die Kommentare dauerhaft gespeichert. Genaueres kannst du hier nachlesen: Datenschutzerklärung

______________________________________________________

Bitte beachte das der eingetragene Name oder die Email-Adresse für jeden sichtbar ist!