Sperrung von Ländern nach IP-Adresse

[Michael-Schaer]

Dies ist das Folgeticket auf https://github.com/hitobito/hitobito_pbs/issues/269. Nach der Analyse der Länder, die auf die MiData zugreifen, wollen wir einige davon im Sinne einer Denylist sperren lassen.

Die Auswahl der Länder ist eine Mischung aus verschiedenen Kriterien (Zugriffe nur auf Login-Seite und andere Seiten, Relevanz für die internationale Pfadi, Häufigkeit von Auslandlagern, Distanz zur Schweiz).

Anforderungen:

• Die entsprechenden Länder müssen für alle eingehende Kommunikation blockiert werden
• Die Liste muss seitens PBS (z.B. mit einem Pull-Request) geändert werden können. Beim nächsten Release muss die Liste entsprechend dem Pull-Request auf dem produktiven System greifen.

Denylist (Stand 30.10.)

Code	Name
IN	India
HK	Hong Kong
SN	Senegal
TR	Turkey
CR	Costa Rica
IS	Iceland
LA	Lao People's Democratic Republic (the)
ZA	South Africa
VN	Viet Nam
JP	Japan
MX	Mexico
LB	Lebanon
SG	Singapore
AU	Australia
EC	Ecuador
RU	Russian Federation (the)
BR	Brazil
VE	Venezuela (Bolivarian Republic of)

ToDo

• [x] nginx-image mit geoip2-module bauen (https://www.dsw123.net/2021/11/26/nginx-geoip2-setup-on-ubuntu-20-04/, https://github.com/nginxinc/docker-nginx/blob/4bf0763f4977fff7e9648add59e0540088f3ca9f/mainline/alpine/Dockerfile)
• [x] geoip2-key holen (https://www.maxmind.com/en/geoip-databases)
• [x] geoip2-DB automatisch herunterladen/aktualisieren können (https://github.com/puzzle/cryptopus/blob/master/bin/fetch_geo_ip_db)
• [x] nginx-config anpassen, dass länderliste geprüft wird (https://www.dsw123.net/2021/11/26/nginx-geoip2-configuration-and-blocking-by-country/, https://www.dsw123.net/2021/11/26/nginx-geoip2-configuration-and-blocking-by-country/)
• [x] länderliste von rails zu nginx-container transferierbar machen (Ziel: updates ermöglichen)
• [ ] CHANGELOG erweitern