Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1316 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Re: Blackholing all traffic from a single IP

Manctastic
Is there any way to drop all traffic from a single Ip without defining each IP in the network definitions section?

I ask because every so often I get  attacks from a single IP and if I have to define every IP that attacks me as a network, it is going to take some time.

Would it be possible to just add an IP address to a network group, so you could create a network group called Blocked, set the packet filter to drop all traffic and then just add IP address's to that group.

Thanks

   


This thread was automatically locked due to age.
  • 0
    [ QUOTE ]
    Is there any way to drop all traffic from a single Ip without defining each IP in the network definitions section?


    [/ QUOTE ]

    No, you first have to define it/them here. You can then add them to the "Block" network group

    [ QUOTE ]

    Would it be possible to just add an IP address to a network group, so you could create a network group called Blocked, set the packet filter to drop all traffic and then just add IP address's to that group. 

    [/ QUOTE ]

    Once you have added them in the network definitions and added them to the "Block" network group set up the filter rule to drop the "Block" group. At least you do not need to set up a single rule for each defined network  [:)]   
  • 0
    Most people block using an Any refined to a specific port; if you need that port to get through for some, you add an Any Allow for the network(s) that are permitted above that...
       
  • 0
    Hi,
    first look what ip-address is it that you want to drop. I saw that in most cases that it would be an address of ISP-Pools the intruder would have this address now but whats in 1 Minute he could come with an other address so your block group grows and grows but tomorrow someone who should have access could  have one of these addresses and you block him.
    If its only for the logs, put drop without log rules for every unwanted traffic by ports, and only allow the wanted traffic.

    firebear  
  • 0
    Well the issue I have is that I have two IPs that keeps bugging me and no rule I create will remove them from ending up in my logfiles. I ended up having to use the ipfilter.local file with hardcoded DROPs on their IP, which really shuts them up good! (search for ipfilter.local)
    but then got into the problem that that file is reloaded every time you change a rule in the Webadmin GUI.

    This I cannot get rid off using WebAdmin: (x changes)
    Source: 217.31.178.61:x   UDP     Dest: 255.255.255.255:67
    Source: 217.31.178.142:x UDP     Dest:  224.0.0.1:5000

    Regards,
    Patrick   
  • 0 in reply to Patrick_Sandberg
    Its a pity that you can't have astaro maintain a temporary block list, with Ip's being automatically added (portscan) or manually added, with the option to purge the IP after a week etc