Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 848 views
  • Users 0 members are here
Options
Suggested

[9.092] SSH Port rules not working

Mark_D_01
Hi all
I have at this moment SSH Login set to "any" at the moment.

I have set up a Firewall Packet Filter Hacker 94.242.252.47 - SSH - External Add - Drop - Allways.

Object created Hacker 94.242.252.47 2013:05:02-09:47:58 host

At 2013-05-03 01:44:44 I got 5 emails
Failed SSH login attempt from 94.242.252.47 at 2013-05-03 01:44:44 with username root


Mark
  • 0
    Mark, if the SMTP Prox is active, it will "capture" the packets before your Firewall rules are considered.  The only way to get in front of it is to make a DNAT that blackholes the packets.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    But surely if you set a packet filter rule to drop port 22 traffic from a particular host. That host's packets should be dropped before even being passed to the Internal SSH Login service.
    I believe that for security of the SSH Login Service.
    1. That the Packet Filter Rules should be applied FIRST. 
    2. Yes I know that I can set to Allow Networks to Log in From, for the SSH Login Service.
    3. There is no other way to deny access at the IP layer to the SSH Login Service, if you need to do this even if required for a short time.

    So Bob
    What I understand what you are saying is for the SSH to use the packet filter rules is this.
    any -> DNAT -> Firewall Rules -> SSH Logon Service.
    DNAT rule = any-> SSH -> External Wan

    Mark

    Mark
  • 0
    Mark, Bob is saying 

    DNAT rule = HackerIP-> WAN->SSH -> to SSH->Invalid Ip
    And the hacker-IP must be excluded from all services SMTP, WebProxy, etc
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?