PortScan IP Blocken

Sauerland · November 30, 2024, 10:52am

Moin,
ich habe mir eine LXC-Container ( Proxmox) mit Nextcloud installiert. Zudem ist auf dem Proxmox LXC bei mir zuhause Crowdsec installiert.

Die Firewall auf dem Proxmox PVE und dem LXC sind aktiv und lassen nur Port 80/443 zu.

An meinem Router ( Fritz 6490 ) auf Port 80 / 443 wird wie erwarten von diversen IPs ein dauerhafter ein Portscan gemacht.

Gibt es eine Möglichkeit mir Crowdsec solche IPs nach 2-3 Minuten zu bannen ?

Hier sieht man mal wie lange einige IPs schön warten, bekommen

Beste Grüße
M

Andrew_XNET · November 30, 2024, 12:51pm

Wen die Firewall nicht an erster Stelle steht bringt das Sperren der IP’s nicht wirklich viel, crowdsec auf der opnsense erkennt Portscan und blockt diese IP’s, du könntest das hier versuchen

https://techgoat.net/index.php?id=222

Die Fritzbox ist zwar auch eine Art Firewall, aber so wirklich kann die auch nichts außer alles abweisen wo kein Port für offen ist

Um wirklich stressige Portscan zu stoppen, muss man ein Ausschnitt aus der Firewall log mit den Aktivitäten und der IP an die abuse Mail von den schicken wer für die IP Bereiche zuständig ist, hab das schon öfters gemacht, das ging bis jetzt immer schnell bis Ruhe war, 30 min bis 2 Stunden bis die reagiert haben.

Sauerland · December 1, 2024, 9:36pm

Hallo Andrew,

danke für Deine Antwort. Da hast Du absolute Recht. Es solltte ja wie folgt aussehen:

BösesInternet → Router/Modem → LAN

Ich komme dann nicht drum rum mich erstmal mit einen Firewall wie z.B OpnSense zu beschäftigen. Auch das Ubiquiti UniFi Cloud Gateway Ultra finde ich interressant.

Ich habe davor noch eine neues Problem.
Mein Kabel Anschluss ist in NRW ( ehemalig Unitymedia , jetzt Vodafone ).

Der Brige-Mode ist nach meine aktuellen Recherche bei Vodafone NRW nicht über das Kundencenter frei zu schalten. Andere Bundelänge schon.

Da muss ich mich bei Vodafone erstmal schlau machen, ob das an meinem Anschluss mit der
FRITZ!Box 6490 Cable (lgi) ( Unitymedia Fritze ist das ) funzt.

Andrew_XNET · December 1, 2024, 10:54pm

Naja aus meiner Sicht sollte es so Aussehen

BösesInternet → Modem → Firewall →LAN

Eine Firewall wie OPNsene/PFsense kann auch die Router Funktion übernehmen

The_eagle · December 2, 2024, 8:51am

Auch in NRW gilt die Endgerätefreiheit. Folglich muss dir auch Vodafone in NRW ermöglichen ein Endgerät Deiner Wahl anzuschließen, also statt der Fritte ein Cable-Modem (DOCSIS 3.1 oder besser). Klar, das ist neu nicht ganz billig, aber dann kannst du daran eine pfsense oder OPNsense anschließen und fängst dir kein Doppel-NAT etc. ein.

Tuxtom007 · December 3, 2024, 7:19am

Eigene FritzBox oder gemietet von vodafone ?

Bei eigener FritzBox, muss ausprobieren, ob es funktioniert, wenn du Glück hast geht es, wenn Pech dann nicht - da wird dir auch vodafone nicht helfen. Falls der Menüpunkt in der WebUI nicht zu sehen ist, gibt einen Hack, den sichtbar zu machen ( googlen )

Bei ner gemietet FritzBox: Hotline anrufen und BridgeModus aktivieren lassen mit der Begründung, das du ne eigene Firewall dahinter betreiben willst

Sauerland · December 3, 2024, 5:01pm

Danke für Eure Antworten. Das hat mir Licht ins dunkle gebracht.