Thread Info
  • State Not Answered
  • Replies 19 replies
  • Subscribers 0 subscribers
  • Views 3251 views
  • Users 0 members are here
Options
Suggested

[7.911][FEATURE][FIXED] error for Country Blocking

utm_kid
Hello Friends !

i have added china as a block list in error log and in user browser i am getting  

"While trying to retrieve the URL:   Interop2010´ó»áÇ°Õ° ÔƼÆËãµÈ³É½¹µã-ÖйشåÔÚÏß
Error message:  Connection timed out "

is it possible to add message this site/page block due to country blocking 

as connection time out is mis-guiding message to user 

thanks
Parents Reply Children
  • 0 in reply to stoner
    Stoner, I think several folks have asked for the ability to choose whether inbound, outbound, or both directions should be blocked.  Additionally, I and some others have also asked for the ability to add exceptions as well.  Hopefully they will make those changes before GA Release.
  • 0 in reply to BrucekConvergent
    Stoner, I think several folks have asked for the ability to choose whether inbound, outbound, or both directions should be blocked.  Additionally, I and some others have also asked for the ability to add exceptions as well.  Hopefully they will make those changes before GA Release.


    indeed i think these options would make it usable, at the moment a single wrong enty will end up in completely re allowing a country, witch would be unacceptable for a customer. furthermore the logging lacks information, there is no way what caused a current block event, i basically have to guess to witch country a ip is resolved.

    for example: 77.222.76.132 is blocked at this moment, the ip is from the netherlands but i have not blocked that country.
  • 0 in reply to BertJanssen
    This feature is of great interest to me. Currently I have an FTP server that has been getting hammered by IPs from China, N Korea, Thailand. In v7.0.5 I have a Network Group called Banned IPs that's at the top of my packet filter list to drop traffic from those IPs to my external address.
    How are these lists maintained? Via Up2Date I'm sure, but is there any way to view the ip/ranges via the GUI?

    I'm of the school of thought that the more one tries to make a pretty GUI for a functionality, the less flexible it becomes. Predefined network groups for each of the countries could be implemented via the packet filter editor so that you could drop some traffic, reject it, log or not log it. etc. I know this isn't the path Astaro has pursued, but it's just my 2 cents.
  • 0 in reply to JimmyM

    I'm of the school of thought that the more one tries to make a pretty GUI for a functionality, the less flexible it becomes. Predefined network groups for each of the countries could be implemented via the packet filter editor so that you could drop some traffic, reject it, log or not log it. etc. I know this isn't the path Astaro has pursued, but it's just my 2 cents.


    FWIW, currently my company wants to block scammers posting scams from Nigeria and Cameroon... just those two countries have over 750 CIDRs!
    I believe that would make webadmin virtually unusable, so I am looking forward to the new system, where you get a checkbox for each country.

    However, I agree that it would be nice to be able to see the actual CIDR lists somehow. (iptables -L -n should still work though)

    Barry
  • 0 in reply to BarryG
    How do you display Hidden Packet filter rules?
  • 0 in reply to BarryG
    FWIW, currently my company wants to block scammers posting scams from Nigeria and Cameroon... just those two countries have over 750 CIDRs!
    I believe that would make webadmin virtually unusable, so I am looking forward to the new system, where you get a checkbox for each country.

    However, I agree that it would be nice to be able to see the actual CIDR lists somehow. (iptables -L -n should still work though)

    Barry


    Yeah. That would be sort of unmanagable. Perhaps the UI could have an "edit" screen for each country where you could check/uncheck individual CIDRs. If you wanted to specifically allow an IP range or IP adding it to the packet filter wouldn't work since the invisible packet filter rules would be applied before the user packet filter rules.
    I'm assuming, of course, that the invisible rules are applied before user rules.
  • 0 in reply to JimmyM
    Here is a something I just found.

    While trying to trace an IP address in HK which I had blocked under the country blocks I was able to tracert the troublesome IP.

    The packet filter log shows it as being dropped under the "country block".

    Is this a bug?

    Ian M
  • 0 in reply to RFCat_vk_01
    Is this a bug?


    Sorry to say that, but: Yes it is. It was already fixed but by mistake didn't made it into 7.912.