Ja, dat kan 'vrij behoorlijk' .

Je moet je alleen afvragen wat je wilt bereiken.
Als je denkt dat je niet hoeft te updaten zolang je maar Rusland/Roemenië/Oekraine blokkeert - dan denk je verkeerd.

hackertjes en poortscannertjes heb je overal , en daar moet je server tegen kunnen.

Als je een whitelist gebruikt met _alleen maar_ wat individuele adressen (van jouw thuis, en je vrienden, en het bedrijf) kun je qua security wel wat flexibeler zijn, maar als je praat over 'EU' , of 'NL' moet je je server security nog steeds serieus nemen.

De lijsten ('Geo IP' is de zoekterm) zijn behoorlijk accuraat, maar adresblokken kunnen verhuizen. Zeker ook binnen een EU brede operator. En natuurlijk heb je in alle landen mensen die een VPN gebruiken om met een IP adres uit een ander land te werken. (zie ook hier de vragen, vaak om de US Netflix catalogus te zien ).

Net zoals de omroepen zo iets gebruiken om programma's die vanuit het buitenland qua rechten niet bekeken mogen worden te blokkeren. (dat merken mensen op vakantie wel eens, dat npo gemist het niet doet).

Dus ja - ze geven een behoorlijke voorselectie , en schelen misschien een hoop ruis in je logfiles .
Maar perfect - nee . Fouten in de lijst kunnen twee kanten op trouwens . adresblokken die niet bekend zijn, adresblokken die wel in NL zitten maar volgens de lijst elders (daar hoor je als NL beheerder het eerst de klachten over.), en adresblokken die in een ander land zitten maar onterecht als NL gelabeled zijn. Daar hoor je nooit klachten over ).

Btw - dit soort vragen is echt vrij makkelijk te googlen ...

Dit soort zaken moet je nooit in htaccess opnemen maar in een dedicated Firewall of als je dat niet hebt in een WAF
Hou er ook rekening mee dat lange IP ranges behoorlijk wat resources vreten met verwerking en daarom je dit dus ook niet via site niveau wilt regelen.

Er zijn veel betere criteria om verkeer op te filteren maar het gros is echt afhankelijk van je software. Denk aan filtering op request per seconde, verkeerde inlog pogingen, wachtwoord reset aanvragen, Modsecurity is een goede implementatie die je kunt gebruiken hiervoor. https://modsecurity.org/download.html


Let op dat je voor GeoIP2, GeoLite2 wel moet inschrijven tegenwoordig anders ontvang je geen lijst updates via API.
GeoLite2 kost niks tot bepaald aantal requests waarbij GeoIP2 betaalde service is.
De gehele service is tegenwoordig eigendom van MaxMind

Zelf adviseer ik om een top 10 van landen te blokkeren waar veel verkeerd verkeer uit komt in plaats van alles.
Dit zul je wel zelf moeten bepalen, observeren gezien jouw server door compleet andere bots getarget kan worden dan die van je buurman. Wij roteren zelf de block list om de week per servercluster.

Zoals Vandaag, 14:20 Anoniem aangeeft is de vraag wat je ermee bereiken belangrijk.
En bedenk goed of er data op staat, komt die persoonsgegevens bevatten want als je toch geraakt wordt door een hack wil je je protocol omtrent datalekken al vast hebben liggen en een enkele IP blokkade functie is geen adequate beveiliging onder GDPR.

De reacties hierboven van 14:20 en 16:19 zijn technisch correct.

Wel vraag ik me af wat de reden is voor die uitsluiting?
- Is de content niet geschikt vanwege taal, of zijn er andere redenen?

Niet te vergeten, search-engines indexeren webservers vaak vanuit het eigen of naburige land. Zodoende kan de content nog steeds in een andere regio te zien zijn. In het bijzonder, way-back-machine indexeert en bewaart mogelijk alle content 1-op-1; dit is wel te blokkeren.

Ja dat bestaat, er zijn DNS servers waar je kunt vragen wat het land is van het IP adres.
Maar je maakt een vergissing als je denkt dat Nederland een "betrouwbaar land" is.
Juist de meest beruchte hackers opereren meestal vanuit servers in Nederland, die zijn kennelijk goedkoop en betrouwbaar.

De laatste regel van de vraag bevat de term 'verdachte landen / betrouwbare landen' .

Dan lijkt een taalprobleem me niet de reden van de vraag. (ben 14:20) - vandaar dat ik speculeerde dat TS denkt iets qua security te bereiken met het blokkeren van een aantal landen.

Gebruik een betrouwbare VPN, dan bereik je vaak ook al veel van wat je wenst.
Internet verkeer is altijd gefragmenteerd en niet alle pakketjes worden via alleen en enkel de Nederland route samengesteld.
Dit vanaf het punt waar je het knooppunt van je provider bereikt.
Analyseer maar eens met Wireshark en een tooltje als Smartsniff.

Anders zorg je slechts voor vertragingen, zoals bij gebruik van Psiphon 3.

J.O.

Ja, elke land heeft bepaalde IP spaces. Maar bedenk je wel dat veel generieke diensten zoals O365 gebruik maken van vaak buitenlandse diensten zoals VPS servers zoals office, azure, amazon.

Maar ja dat kan simpelweg met "geolocation firewall rules". Het zijn gewoon firewall rules maar ze blokkeren dan specifiek de gehele nederlandse IP reeks.

Zoek effe op: IP Geolocation database

Dit is discrimineren en het internet zou vrij voor iedereen moeten zijn. Het lijkt Iran wel hier, waar je bijvoorbeeld geen signal mag gebruiken

Het internet is ook vrij, alleen de huisdeur niet. Vergelijk het met de straat voor je huis langs. Iedereen mag daar vrij door bewegen, maar toch zul jij je voordeur niet open zetten en iedereen zonder vragen binnen laten.

Zelf gebruik ik ook de GeoLite2 database van MaxMind in de firewall om de toegang tot mijn nas te beperken tot een aantal landen. Dat scheelt gewoon heel wat hackpogingen. En die database is niet altijd accuraat. Momentaal worden b.v. IP adressen uit de range 159.180.16.xxx gezien als Turks, terwijl ze in eigendom zijn van Delta Fiber in Nederland.

Er zitten op de Nederlandse infrastructuur ook heel wat louche hostertjes voor Russian Business Network bijvoorbeeld.
Nederland is beslist geen uitzondering w.b. deep web en dark web.

Vanuit ons land wordt ook volop gescamd, gespamd, gedDossed etc. Bullet proof hostertjes galore (in alle Nederlandse provincies).

Er zijn wat meer technische security mogelijkheden als in Z.O. Azië, maar die worden niet altijd ingezet om jou en mij mee te beschermen.

Begin eens met de grote boys, die vormen de grootste legitieme bedreiging voor je Internet-vrijheid met hun voortgezette mono-cultuur en tracking en profilering en iedereen ligt ermee in bed, lijkt het wel. Namen onder meer: Google, facebook, Amazon, Alibaba, CloudFlare, ja, juist dus, meestal allemaal uit het land van de "bold" en de "free" (vergeet dat laatste dus maar).

Zoals Briolet al duidelijk aangeeft: "Leer veel te blokkeren anders moet je het door schade en schande leren",

#sockpuppet

En de wereld zou vrij van oorlog moeten zijn criminaliteit en iedereen zou gelijk moeten zijn. Helaas is de realiteit anders en hebben we de plicht om mensen te beschermen als we diensten via het internet en publiekelijk aanbieden.

Geoblocking om consumenten, gebruikers uit te sluiten van een dienst om prijzen te regulieren of markt manipulatie is verboden. Geoblocking om consumenten te beschermen tegen hackers, bots is First Line of Defence om je attack surface te verkleinen.

Bij deze de wetgeving: (behalve als je naam Netflix is)
https://ec.europa.eu/digital-single-market/en/geo-blocking

Dat gezegd is het vaak veel effectiever om Geoblocking gematigd in te zetten op poorten en bepaalde directories en niet op normaal site bezoek.

Een consument. bezoeker heeft niks te zoeken bij een administrator inlog link en kun je prima achter een IP allow gooien.
Een consument, bezoeker heeft niks te zoeken bij een SSH poort van een server waar ze geen eigenaar van zijn.
Een consument, bezoeker heeft geen recht op duizend keer achterelkaar een pagina herladen en kan prima gethrottled worden of geblocked als deze het onmogelijk maakt voor andere om gebruik te maken van een service.

Maar wat nog vervelender is dat is dat het barst van die Russische, Bulgaarse, Oekraiense etc hosting bedrijven die hun
servers in Amsterdam hebben staan omdat dat betrouwbaar is en een hoop bandbreedte geeft voor weinig geld, en dan
gewoon met landcode NL in de whois komen te staan. Die tellen ook als "vanuit nederland" en kunnen dus vrolijk
je NAS gaan aanvallen.
Tuurlijk beperk je het aantal pogingen doordat je een deel van de afzenders wegsnijdt, maar of dat uiteindelijk gaat helpen
als er een zeroday is waar die lui snel achter zijn dat betwijfel ik.
Beter is om je NAS maar gewoon niet op internet te zetten...

Jij hebt je laptop/PC's zo kaal aan het internet hangen zonder router, zodat iedereen erbij kan en dat je niet discrimineert?

"wat ik begrijp van htaccess (niet veel meer dan hobby scripten) is dat het mogelijk is om lijsten met erkende -whitelist - (niet racistisch bedoeld) ipnummers te gebruiken en alleen deze toegang te geven tot je website."


Zelf zoek ik helemaal niets achter het woordje "whitelist"...
Eigenlijk door jouw eigen "niet racistisch bedoeld" opmerking leg ik die relatie weer wel...
Werkt dus averechts om dat erbij te zetten lijkt mij ....
Maar goed mijn persoonlijke mening....