[9.070][QUESTION] authz_blacklist :Client is listed on DNSRBL black.rbl.ctipd.astaro.local

Hi utm kid,

Your WAF server connects to a IP address which is blocked by CommTouch (our blacklist server). This IP is listed with High Risk [check attached]. You can also check your IP reputation here: Check IP Reputation | Commtouch

Another useful thread is this one: https://community.sophos.com/products/unified-threat-management/astaroorg/f/56/t/49108

Regards,
Bianca

Thanks Bianca, 

but i dont understand 1 thing but when i come home later i was not able to access my own site i was not able to access it then i go micrsaft way (rebooted)ed linux and utm then i was able to access web site ,that is some thing strange 

[HTML] 2013:03:06-16:19:32 acenn reverseproxy: [Wed Mar 06 16:19:32.932994 2013] [authz_blacklist:warn] [pid 18670:tid 4105833328] [client 117.195.19.172:4370] Client is listed on DNSRBL black.rbl.ctipd.astaro.local
2013:03:06-16:19:32 acenn reverseproxy: srcip="117.195.19.172" localip="11.22.33.44 (mypubip)" size="202" user="-" host="117.195.19.172" method="GET" statuscode="403" reason="dnsrbl" extra="Client is listed on DNSRBL black.rbl.ctipd.astaro.local" time="1136" url="/" server="www.mydomain.com" referer="-" cookie="-" set-cookie="-"
2013:03:06-16:21:14 acenn reverseproxy: [Wed Mar 06 16:21:14.729869 2013] [mpm_worker:notice] [pid 5762:tid 4147570368] AH00297: SIGUSR1 received.  Doing graceful restart
2013:03:06-16:21:18 acenn reverseproxy: [Wed Mar 06 16:21:18.000550 2013] [mpm_worker:notice] [pid 5762:tid 4147570368] AH00292: Apache/2.4.3 (Unix) OpenSSL/1.0.1c configured -- resuming normal operations
2013:03:06-16:21:18 acenn reverseproxy: [Wed Mar 06 16:21:18.000590 2013] [core:notice] [pid 5762:tid 4147570368] AH00094: Command line: '/usr/apache/bin/httpd'
2013:03:06-16:21:18 acenn reverseproxy: [Wed Mar 06 16:21:18.000640 2013] [mpm_worker:warn] [pid 5762:tid 4147570368] AH00291: long lost child came home! (pid 18603)
2013:03:06-16:21:18 acenn reverseproxy: [Wed Mar 06 16:21:18.000663 2013] [mpm_worker:warn] [pid 5762:tid 4147570368] AH00291: long lost child came home! (pid 18605)
 [/HTML]
i check my ip it has no risk 

can you pls tell me which log will help to diagenose this behavior 


thanks

The blacklist is maintained by Commtouch, a third party vendor that we integrated into the UTM. If they decide to blacklist an IP, there is nothing you can debug on the UTM.

We know that this blacklist feature has the risk for blocking legitimate users. But this is how the feature was requested by some customers and how it was designed to work. If you don't like it, add an exception for your known client IPs -- or even simpler, just don't use it.

Regards,
mlenk

agreed and thanks 
but why it should not allow me access my own web site form local network and check my ip also with commtouch it ,ip has no risk 

i was trying to ask after blocklisting of site for bad ip why it should bring web site down or not allowing  good ip also after bad ip hit web site 

will invisitate this later agin but can you please explain why i was not able to access my web site 

[HTML] 2013:03:06-16:19:24 acenn reverseproxy: srcip="117.195.19.172" localip="11.22.33.44 (mypublicip)" size="202" user="-" host="117.195.19.172" method="GET" statuscode="403" reason="dnsrbl" extra="Client is listed on DNSRBL black.rbl.ctipd.astaro.local" time="1093" url="/" server="www.mydomain.com" referer="-" cookie="-" set-cookie="-"
2013:03:06-16:19:32 acenn reverseproxy: [Wed Mar 06 16:19:32.932994 2013] [authz_blacklist:warn] [pid 18670:tid 4105833328] [client 117.195.19.172:4370] Client is listed on DNSRBL black.rbl.ctipd.astaro.local
2013:03:06-16:19:32 acenn reverseproxy: srcip="117.195.19.172" localip="11.22.33.44 (mypublicip)" size="202" user="-" host="117.195.19.172" method="GET" statuscode="403" reason="dnsrbl" extra="Client is listed on DNSRBL black.rbl.ctipd.astaro.local" time="1136" url="/" server="www.mydomain.com" referer="-" cookie="-" set-cookie="-"
2013:03:06-16:21:14 acenn reverseproxy: [Wed Mar 06 16:21:14.729869 2013] [mpm_worker:notice] [pid 5762:tid 4147570368] AH00297: SIGUSR1 received.  Doing graceful restart
2013:03:06-16:21:18 acenn reverseproxy: [Wed Mar 06 16:21:18.000550 2013] [mpm_worker:notice] [pid 5762:tid 4147570368] AH00292: Apache/2.4.3 (Unix) OpenSSL/1.0.1c configured -- resuming normal operations
2013:03:06-16:21:18 acenn reverseproxy: [Wed Mar 06 16:21:18.000590 2013] [core:notice] [pid 5762:tid 4147570368] AH00094: Command line: '/usr/apache/bin/httpd'
2013:03:06-16:21:18 acenn reverseproxy: [Wed Mar 06 16:21:18.000640 2013] [mpm_worker:warn] [pid 5762:tid 4147570368] AH00291: long lost child came home! (pid 18603)
2013:03:06-16:21:18 acenn reverseproxy: [Wed Mar 06 16:21:18.000663 2013] [mpm_worker:warn] [pid 5762:tid 4147570368] AH00291: long lost child came home! (pid 18605)
2013:03:06-16:21:44 acenn reverseproxy: srcip="127.0.0.1" localip="127.0.0.1" size="55" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" time="12904" url="/lb-status" server="localhost" referer="-" cookie="-" set-cookie="-"
2013:03:06-16:22:06 acenn reverseproxy: srcip="127.0.0.1" localip="127.0.0.1" size="55" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" time="228" url="/lb-status" server="localhost" referer="-" cookie="-" set-cookie="-"
2013:03:06-16:22:33 acenn reverseproxy: srcip="127.0.0.1" localip="127.0.0.1" size="55" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" time="233" url="/lb-status" server="localhost" referer="-" cookie="-" set-cookie="-"
2013:03:06-16:22:34 acenn reverseproxy: [Wed Mar 06 16:22:34.724153 2013] [mpm_worker:notice] [pid 5762:tid 4147570368] AH00297: SIGUSR1 received.  Doing graceful restart
2013:03:06-16:22:36 acenn reverseproxy: [Wed Mar 06 16:22:36.000556 2013] [mpm_worker:notice] [pid 5762:tid 4147570368] AH00292: Apache/2.4.3 (Unix) OpenSSL/1.0.1c configured -- resuming normal operations
2013:03:06-16:22:36 acenn reverseproxy: [Wed Mar 06 16:22:36.000602 2013] [core:notice] [pid 5762:tid 4147570368] AH00094: Command line: '/usr/apache/bin/httpd'
2013:03:06-16:22:36 acenn reverseproxy: [Wed Mar 06 16:22:36.000625 2013] [mpm_worker:warn] [pid 5762:tid 4147570368] AH00291: long lost child came home! (pid 12548)
2013:03:06-16:22:36 acenn reverseproxy: [Wed Mar 06 16:22:36.000633 2013] [mpm_worker:warn] [pid 5762:tid 4147570368] AH00291: long lost child came home! (pid 12550)
2013:03:06-16:22:36 acenn reverseproxy: srcip="127.0.0.1" localip="127.0.0.1" size="55" user="-" host="127.0.0.1" method="GET" statuscode="200" reason="-" extra="-" time="8343" url="/lb-status" server="localhost" ref
  [/HTML] 


thanks

Hi utm_kid,

i was trying to ask after blocklisting of site for bad ip why it should bring web site down or not allowing  good ip also after bad ip hit web site

What is good ip, what is bad ip?

mlenk

Hi utm_kid,



What is good ip, what is bad ip?

mlenk

ah ,good ip, i check my ip with commtouch site which say no risk  --Risk Level:  No Risk
 Description:  This IP address has not been used for sending spam 

bad ip which was reported in weblog 117.195.19.172

So, good ip is the same like bad ip? It is both 117.195.19.172?

However, the IP 117.195.19.172 is blacklisted at Commtouch, which I just confirmed using their web based lookup form.

Only the IP address listed as srcip in the reverseproxy.log is used for the blacklist lookup.

So, good ip is the same like bad ip? It is both 117.195.19.172?

read prv post my public ip is good ip  and  i was  not able to access web site  even private ip