Import Black list?

Hi,

Web Protection (in transparent mode) affects TCP 80 and 443, and any other TCP ports you add to it (not likely to work unless they're HTTP).

It won't affect inbound, ever.

I'm not sure about importing lists.

Barry

Is there still no way to import a mass group of IPs to a firewall black list?

If you mean to a firewall (packetfilter) rule, then no.

Hmm can we use a script to mass import them into IPtables on the box? or will that mess with the warranty?

Hi, loading things into IPTables won't 'stick', as the UTM's configuration daemon will overwrite them whenever something else changes.

You could try to load the definitions into 'cc', if you could figure out the commands; that should be persistent, and should allow access via WebAdmin.

Barry

The problem is that it isn't a flat list.  Each IP would need a host object created for it, with the associated other information that is needed for each object.

What exactly, and completely, are you trying to accomplish/do?

WebAdmin:
The answer is probably still no in 9.3.

Command line:
Creating, modifying and deleting host and host/network groups (really almost all, if not all, objects) is possible via cc (confd-client.plx) through at least 9.1 and probably 9.2.  It might still work in 9.3 too (get_objects_filtered appears to have left in/around 9.3 at least temporarily complicating some potential actions).  I don't think Sophos Support will acknowledge this ability exists, let alone support it, and they may refuse to support a system it is performed on.  I don't think I've ever posted a step-by-step example (neither has anyone else) but I think I've posted enough pieces for it to be put together.Google: site:astaro.org teched cc

DNS:
sophoslabfan posted the clever use of DNS Group(s) to facilitate an attempt to block TOR.

What exactly, and completely, are you trying to accomplish/do?

My first thought, too.  ATP replaces the need for keeping track of C&C IPs.  Country Blocking handles in-/out-bound traffic with areas that don't relate to your business.  Incoming traffic from allowed countries can't get through unless there's a DNAT or Virtual Server to allow the traffic.  Botnets are never static, so keeping up with their IPs would be an impossible task for an admin.  What is the problem you're trying to solve that you would search for help with the answer proposed in your original post?

Cheers - Bob

I get lists of government provided IPs of active malicious attackers, some are not on the the ATP database.

This may or may not help you... this should block any requests from your network out to the IPs at least...

Web Protection -> Web Filter Policies, Filter Actions Tab

Edit your respective 'Blacklist' listed Mode

Click on Websites button at the top of the new window, under Block these websites, create a new object, name it, then click on the little down arrow at the far top right, select Import.

Copy the list of IPs you have, either saved on Notepad or something in a list format, not Excel, something that is just text.

Paste text into the field, save, and done.

This is the only import that I know of, not sure if this is what you are looking for or not, but worth a try.  I use this method to block a HUGE list of ad domains I have in a .txt file that is so large, I have to import it in pieces.