Ananas selber ziehen mit Detlef Römisch

aussperren ungebetener gäste – ip whitelist verfahren im test

Generell wird beim Sperren von IPs unterschieden zwischen blacklisting und whitelisting. Wärend auf der Blacklist alle genannten IP-Nummern gesperrt sind, wird bei einer Whitelist erstmal ALLES gesperrt und es werden nur Besucher zugelassen, deren IP in der .htaccess gelistet ist.

Eine super sichere Methode, sofern man niemanden vergißt. Derzeit teste ich diese Methode als Alternative zur im letzten Beitrag beschriebenen Blacklist. Sollte die whitelist keine Nachteile hinsichtlich der Besucherzahlen mitbringen, wird sie künftig auch hier eingesetzt. Hier die Details, evtl. fehlende Dinge bitte gern als Kommentar ergänzen, sowie Nutzung auf eigene Verantwortung:

Positivliste – diese Besucher müssen auf die whitelist

  1. die großen Suchmaschinen: google, bing
    (alle anderen Suchmaschinen sind eher vernachlässigbar)
  2. Zielgruppe: D, A, CH Besucher der Länder (alles deutschsprachige)
  3. Amazon Alexa
  4. kleinere Suchmaschinen: yahoo, yandex, …
  5. Facebook, Twitter etc.
  6. RSS-Feed
  7. IP-Nummer der eigenen Website
  8. ?IP-Nummernkreis des Providers? (sollte in D A CH enthalten sein)
  9. ? Surfer aus Urlaubsländern : I, NL, F, GR    (?bringt wieder mehr Spam Risiko)

Schon nach den ersten beiden Punkten scheint nichts existenzielles mehr zu kommen, also beginnen wir mit der

Whitelist der Zielgruppe erstellen

Mit countryipblocks.net wird eine Whitelist erstellt:

IP Adresse sperren whitelist blacklist IP Bereiche
IP whitelist blacklist erstellen für .htaccess

Das Ergebnis ist im linken Bereich des Screenshots zu sehen und wird per Zwischenablage in die .htaccess eingefügt. Es ist empfehlenswert, vorher eine Kopie der orginal .htaccess anzulegen. Falls die Baustelle im ersten Anlauf mißglückt, kann man damit leicht den Ausgangszustand diederherstellen.
Alle Besucher der Zielgruppe sind jetzt freigegeben, wenn die Datei hochgeladen wird. Nun kommt das wichtigste:

Freigabe der Suchmaschinen in der whitelist

Offiziell werden von google und bing keine IP-Nummern bekanntgegeben, mit der Begründung, daß bei Änderung derselben die Suchmaschinen bei whitelistings keinen Zugang mehr hätten. Googelt man, wird man jedoch an verschiedenen Stellen fündig und kann das Ganze in die gewünschte Form bringen. Gibt man ganze Bereiche frei, sollte sich das Risiko des aussperrens m.E. in Grenzen halten, Verwendung jedoch auf eigenes Risiko:

...
#AUSTRIA, GERMANY, SWITZERLAND
order deny,allow

################################ Block zzgl. Suchmaschinen ###########################
#google  Quelle: #http://chceme.info/ips/ #http://whois.domaintools.com/64.233.160.0
#Google:
allow from 64.233.160.0/19 #64.233.160.0 - 64.233.191.255   noch akt.
allow from 66.102.0.0/20   #66.102.0.0 - 66.102.15.255      noch akt.
allow from 66.249.64.0/19  #66.249.64.0 - 66.249.95.255     noch akt.
allow from 72.14.192.0/18  #72.14.192.0 - 72.14.255.255     noch akt.
allow from 74.125.0.0/16   #74.125.0.0 - 74.125.255.255     noch akt.
allow from 209.85.128.0/17 #209.85.128.0 - 209.85.255.255   noch akt.
allow from 216.239.32.0/19 #216.239.32.0 - 216.239.63.255   noch akt.
#
allow from 64.68.64.0/19   #64.68.64.0 - 64.68.95.255       aktualisiert
allow from 64.233.160.0/19 #64.233.160.0 - 64.233.191.255   aktualisiert
allow from 66.249.64.0/19  #66.249.64.0 - 66.249.95.255     aktualisiert
allow from 216.239.32.0/19 #216.239.32.0 - 216.239.63.255   aktualisiert

#bing     Quelle: https://internet-pr-beratung.de/robots-ip-adressbereiche/
allow from 65.52.0.0/14    #65.52.0.0 - 65.55.255.255
allow from 131.253.21.0/24 #131.253.21.0 - 131.253.47.255 mehrere CIDR-Zeilen
allow from 131.253.22.0/23 #131.253.21.0 - 131.253.47.255
allow from 131.253.24.0/21 #131.253.21.0 - 131.253.47.255
allow from 131.253.32.0/20 #131.253.21.0 - 131.253.47.255
allow from 157.54.0.0/15   #157.54.0.0 - 157.60.255.255   mehrere CIDR-Zeilen
allow from 157.56.0.0/14   #157.54.0.0 - 157.60.255.255
allow from 157.60.0.0/16   #157.54.0.0 - 157.60.255.255
allow from 199.30.16.0/20  #199.30.16.0 - 199.30.31.255
allow from 207.46.0.0/16   #207.46.0.0 - 207.46.255.255

#bing    Quelle: https://myip.ms/info/bots/Google_Bing_Yahoo_Facebook_etc_Bot_IP_Addresses.html
allow from 65.52.104.0/24
allow from 65.52.108.0/22
allow from 65.55.24.0/24
allow from 65.55.52.0/24
allow from 65.55.55.0/24
allow from 65.55.213.0/24
allow from 65.55.217.0/24
allow from 131.253.24.0/22
allow from 131.253.46.0/23
allow from 40.77.167.0/24
allow from 199.30.27.0/24
allow from 157.55.16.0/23
allow from 157.55.18.0/24
allow from 157.55.32.0/22
allow from 157.55.36.0/24
allow from 157.55.48.0/24
allow from 157.55.109.0/24
allow from 157.55.110.40/29
allow from 157.55.110.48/28
allow from 157.56.92.0/24
allow from 157.56.93.0/24
allow from 157.56.94.0/23
allow from 157.56.229.0/24
allow from 199.30.16.0/24
allow from 207.46.12.0/23
allow from 207.46.192.0/24
allow from 207.46.195.0/24
allow from 207.46.199.0/24
allow from 207.46.204.0/24
allow from 157.55.39.0/24

#google   Quelle: https://myip.ms/info/bots/Google_Bing_Yahoo_Facebook_etc_Bot_IP_Addresses.html
allow from 203.208.60.0/24
allow from 66.249.64.0/20
allow from 72.14.199.0/24
allow from 209.85.238.0/24
allow from 66.249.90.0/24
allow from 66.249.91.0/24
allow from 66.249.92.0/24

#bing    eigene Sammlung
allow from 40.74.0.0/15   #40.74.0.0 - 40.125.127.255
allow from 40.76.0.0/14   #40.74.0.0 - 40.125.127.255
allow from 40.80.0.0/12   #40.74.0.0 - 40.125.127.255
allow from 40.96.0.0/12   #40.74.0.0 - 40.125.127.255
allow from 40.112.0.0/13  #40.74.0.0 - 40.125.127.255
allow from 40.120.0.0/14  #40.74.0.0 - 40.125.127.255
allow from 40.124.0.0/16  #40.74.0.0 - 40.125.127.255
allow from 40.125.0.0/17  #40.74.0.0 - 40.125.127.255
################################ Block zzgl. Suchmaschinen ########### ende ##########

### ab hier D A CH allow
allow from 2.20.182.0/24
...

Die o.g. Sammlung der IP-Nummern kann so in die .htaccess übernommen werden. Verwendung natürlich auf eigenes Risiko und zur gelegentlichen Überprüfung.

Hinter dem # befindet sich über jedem Abschnitt immer ein Link zur ursprünglichen Quelle, die IP Bereiche bzw. Spannen hinter dem # wurden mit dem whois dann .htaccess konform umgeschrieben, falls es der Quell-Link so nicht angibt, die Aktualität ist zum größten Teil überprüft.

Mehr scheint erstmal nicht erforderlich, die Whitelist befindet sich momentan in dieser Form im Test.

Amazon Alexa, Alexa Toolbar IPs ??


zuletzt aktualisiert am 23.04.2016

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.