Blacklist achter Fritz!Box?

Hi all,

Ik draai een Raspberry Pi achter mijn Fritz!box, niet als een exposed host, en heb die van een firewall voorzien met als defaultactie drop. Nu speel ik met de gedachte om er een blocklist-filter aan toe te voegen, maar vraag me af of dat nut heeft. Alles wat niet welkom is wordt toch al weggegooid.

Wat vinden jullie?

Groet,
Paul

Ik weet niet wat je op je Pi doet, maar als deze niet vanaf het internet benaderbaar hoeft te zijn (dus geen webservertje draait ofzo) dan lijkt me gegeven jouw omschrijving dat zolang je Pi zelf niks met internet doet, er ook niks naar je Pi toe kan gaan.

Om wat voor blocklist-filter zou het gaan? Als het bijvoorbeeld “foute” websites filtert, dan heb je er zeker wat aan. Maar als het inkomend verkeer van “foute” bronnen zou filteren, dan lijkt mij dat je er geen fluit aan hebt, en alleen je Pi loopt te vertragen.

Dit heeft alleen zin als je op je Fritz!box poorten openzet. Je kunt dan bepalen of je bepaalde adressen of alle adressen jouw RaspberryPI kunnen benaderen via de firewall on de Raspberry.

De Frtiz!box laat alleen verkeer van buiten door wat jij heb geïnitieerd en wat een direct antwoord is of een gerelateerd antwoord. Dit heet “stateful” en mijn vertaling naar Nederlands is dan “herkend” verkeer.

1 like

Dank, mcfab en msatter,

Ik zat te denken aan DROP - Don't Route or Peer lists - The Spamhaus Project.

Mijn huidige input chain is

            iifname "lo" accept                                                                                                                                                                                                  
            iifname != "lo" ip saddr 127.0.0.0 drop                                                                                                                                                                              
                                                                                                                                                                                                                                 
            ct state invalid drop                                                                                                                                                                                                
            ct state established,related accept                                                                                                                                                                                  
                                                                                                                                                                                                                                 
            tcp flags & (fin | syn) == fin | syn drop                                                                                                                                                                            
            tcp flags & (syn | rst) == syn | rst drop                                                                                                                                                                            
                                                                                                                                                                                                                                 
            udp sport domain ct state established accept                                                                                                                                                                         
            tcp sport domain ct state established accept                                                                                                                                                                         
                                                                                                                                                                                                                                 
            meta nfproto ipv4 tcp dport auth tcp flags & (fin | syn | rst | ack) == syn ct state new reject with icmp type host-prohibited                                                                                       

            ip protocol icmp limit rate 1/second accept
            ip protocol ipv6-icmp limit rate 1/second accept

Als Fritzbox inderdaad alleen stateful binnenlaat, heeft een blacklist niet veel zin.

Vriendelijke groet,
Paul