Geolocation richtig nutzen – oder wie man sich selbst _nicht_ aussperrt.

Mit der der Version 11.12 (etwa Dezember 2016), führte WatchGuard das Feature Geolocation ein. Mit diesem Feature ist es möglich, IP-Adressen aufgrund der Herkunft auszusperren. Allerdings kann man durch Fehlkonfiguration auch sich selbst aussperren.

Aktivierung des Services

Das Feature wird aktiviert, indem man unter Subscription Services => Geolocation das Häkchen bei
[x] Enable Geolocation
setzt.

In der Weltkarte kann man nun duch Klicken auf das Schloß oben rechts die Bearbeitung aktivieren. Anschließend werden die Länder angeklickt, die geblockt werden sollen. (In diesem Screenshot ist noch kein Land angeklickt, angeklickte Länder werden dunkelrot dargestellt). Bei sehr kleinen Ländern auf dieser Landkarte hilft es, mit dem Mausrädchen hineinzuzoomen.

Das Ganze geht natürlich auch im Tab Country List in der gleichen Maske; durch Umschalten Country List <=> Map kann man seine Geographie-Kenntnisse aufstocken (“…wo liegt eigentlich Kiribati…”). Vorsicht – nicht abspeichern, wenn man hier nur rumgespielt hat 😉

und unter Exceptions kann man Ausnahmen einpflegen (um Konstrukte wie “..blocke ganz xyz, aber nicht die IP unseres Partner-Unternehmens dort…” bauen zu können).

Was man tunlichst nicht tun sollte…

Anekdote am Rande: Geolocation ist kein Allow-Feature.

Wenn man explizit sagt, daß die Firewall deutsche IPs blocken soll, dann tut sie das. Und sie tut das gründlich. Sehr gründlich. Sie blockt einfach alle Pakete auf allen Interfaces von allen IPs, die in der Geolocation-IP-Datenbank dem Land Deutschland zugeordnet sind. 

Fazit: Nach einer solchen Konfiguration ist danach das Internet tot. Es geht praktisch mehr. Auch kein Ping-Test, ob die Leitung up ist.