Kommentare zu: Geoblocking mit Hilfe von nftables einrichten https://blog.daniel.wydler.eu/2024/04/21/geoblocking-mit-hilfe-von-nftables-einrichten/ Thu, 11 Dec 2025 18:36:55 +0000 hourly 1 https://wordpress.org/?v=6.9.4 Von: M.L. https://blog.daniel.wydler.eu/2024/04/21/geoblocking-mit-hilfe-von-nftables-einrichten/#comment-18462 Thu, 11 Dec 2025 18:36:55 +0000 https://blog.wydler.eu/?p=7359#comment-18462 Als Antwort auf Daniel.

Vielen Dank! Das hilft mir sehr!

]]> Von: Daniel https://blog.daniel.wydler.eu/2024/04/21/geoblocking-mit-hilfe-von-nftables-einrichten/#comment-18442 Sat, 06 Dec 2025 09:41:19 +0000 https://blog.wydler.eu/?p=7359#comment-18442 Als Antwort auf André.

Hallo Andre,
herzlichen Dank für deinen Input.
Ich habe deinen Vorschlag bezüglich den Chains und Maps übernommen.

Viele Grüße,
Daniel

]]> Von: Daniel https://blog.daniel.wydler.eu/2024/04/21/geoblocking-mit-hilfe-von-nftables-einrichten/#comment-18441 Sat, 06 Dec 2025 09:40:12 +0000 https://blog.wydler.eu/?p=7359#comment-18441 Als Antwort auf M.L..

Hallo M.L.,
berechtigte Frage. Ich habe zwei Beispiele oben in der Konfiguration für dich ergänzt. Damit es nun klarer…

Viele Grüße,
Daniel

]]> Von: M.L. https://blog.daniel.wydler.eu/2024/04/21/geoblocking-mit-hilfe-von-nftables-einrichten/#comment-18436 Fri, 05 Dec 2025 07:57:10 +0000 https://blog.wydler.eu/?p=7359#comment-18436 vielen Dank für die Anleitung. Damit klappt es auch für den Laien dies einzurichten.
Frage (weil ich die Technik tatsächlich nicht wirklich verstehe): wie kann ich verschiedene Ports für mehrere Länder freigeben (Zeile 37 in der Konfig).
meta mark $DE $AT $CH $FR tcp dport 22 443 counter accept – funktioniert nicht (?)

]]> Von: André https://blog.daniel.wydler.eu/2024/04/21/geoblocking-mit-hilfe-von-nftables-einrichten/#comment-17540 Thu, 17 Apr 2025 13:08:42 +0000 https://blog.wydler.eu/?p=7359#comment-17540 Mega Idee das direkt Kernel nah zu realisieren!

Bei größeren NFT-Rules ist ein kompletter flush kontraproduktiv. Ich denke da schon an fail2ban. Folgend meine Umsetzung.

Ich baue da auf die dynamischen Regeln von NFT auf und habe alle meine Regeln (inkl. deiner) in /etc/nftables/input_rules.nft gepackt (ohne einf flush dort) und diese al inlude in die haupt conf von nft. So kann das dynamisch geladen werden.

Nur müssen dann vorher die Chains uns Maps geleert werden (da sonst doppelter Müll entsteht)

#!/bin/bash

# Download new files
/opt/nftables-geoip/nft_geoip.py --file-location /opt/nftables-geoip/location.csv --download --output-dir /opt/nftables-geoip/

# Copy files to productive folder
cp /opt/nftables-geoip/geoip-def-all.nft /etc/nftables/
cp /opt/nftables-geoip/geoip-ipv4.nft /etc/nftables/
cp /opt/nftables-geoip/geoip-ipv6.nft /etc/nftables/

# Reload new map
nft flush chain inet filter input
nft flush chain inet filter geoip-mark-input
nft flush chain inet filter geoip-mark-output
nft flush map inet filter continent_code
nft flush map inet filter geoip4
nft flush map inet filter geoip6
nft -f /etc/nftables/input_rules.nft
]]>