Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 5327 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Large Ban list aka torrent, anon proxy,country etc

PenTest
There are a few locations on the net that list IP addresses that most people dont want anything to do with. A few that come to mind are the Azureus ban list plugin ,the anonymous web proxy ban list, country block bans (e.g. block Asia from your Europe ftp site).

As it stands its not practical to use these lists with Astaro as no one want to define 10-20000 objects.

Any thoughts on how intresting a feature like this would be? this


This thread was automatically locked due to age.
  • 0
    I'd like this feature.  I could use it for quite a few things.
  • 0
    ISTM that loading blacklists that large into IPTables would at least use an awful lot of RAM.

    The spam blacklisting is done as a DNS service; I don't know how practical it would be to do it that way in IPTables or ASL.

    Barry
  • 0 in reply to BarryG
    i think in reality it should work ok as long as your hardware is half decent.

    but we would have to experiment [;)]
  • 0 in reply to PenTest
    FYI, I'm loading some of the IP blocks mentioned in Tony Howlett's DefCon 13 presentation...

    Description

    He hasn't put the presentation on his site, but Google finds it if you search for 
    DC_13-Howlett.pdf  

    I'm doing this due to Nigerian 419 type scams targeting sellers on our site.

    Note: it's probably best not to block off large areas for email, as you never know who you might be talking to on mailing lists, etc.

    Barry
  • 0 in reply to BarryG
    BTW, some of the RIPE networks can be reduced further via supernetting... /7, /6, and /5's are possible there.

    Also, I'm noticing the list in the presentation is incomplete... there are more /8's in RIPE than listed, and there are also some /16's not listed.

    I'll post mine when I'm done, but I'm sure mine won't be complete either.

    Barry
  • 0 in reply to BarryG
    OK, here's my list.
    Additions/corrections would be appreciated.

    Disclaimers:
      1. This isn't complete.
      2. Use at your own risk 
      Make sure you understand what you are doing before you use these definitions to create PF rules.
      If you screw up, you risk blocking yourself or your customers![/list]
      AfriNIC - New registry for Africa (NOT complete):
      41.0.0.0/8

      APNIC "Asia Pacific" incl AU & NZ:
      124.0.0.0/8
      126.0.0.0/8
      168.208.0.0/16
      196.192.0.0/16
      202.0.0.0/8
      210.0.0.0/8
      218.0.0.0/7
      220.0.0.0/7
      222.0.0.0/8
      58.0.0.0/8
      61.0.0.0/8

      ARIN allocations for non North-American networks:
      66.178.0.0/17    New Skies Satellites (Nigerian ISP?)

      LACNIC Latin America (NOT complete due to ARIN entries):
      189.0.0.0/8
      190.0.0.0/8
      200.0.0.0/7

      RIPE Europe to west ("central") Asia:
      192.112.0.0/13    (SOME IS RESERVED or UNKNOWN)
      193.0.0.0/8
      194.0.0.0/7
      196.200.0.0/13    Nigerian ISPs (ARIN says RIPE but RIPE says DNE)
      212.0.0.0/7
      217.0.0.0/8
      80.0.0.0/5
      88.0.0.0/6


      Barry
  • 0
    Current APNIC blocks:
    1/8
    14/8
    27/8
    36/8
    42/7
    49/8
    58/7
    60/7
    101/8
    110/7
    112/5
    120/6
    124/7
    126/8
    133/8
    150/8
    153/8
    163/8
    171/8
    175/8
    180/8
    182/7
    202/7
    210/7
    218/7
    220/6

    aggregated from http://www.iana.org/assignments/ipv4-address-space/ipv4-address-space.xml

    Note I'm not currently using Astaro's geoIP blocking due to the following limitations:
    1. can't choose by protocol (e.g. block mail but allow web traffic)
    2. can't allow outgoing but block incoming
    3. can't whitelist or override; e.g. can't allow a user/network in S. Africa while blocking the rest of S. Africa

    Barry
  • 0
    Hi, 

    I am still Astaro's fan, but using it for 2 years, I still put my customized firewall server BEFORE Astaro!
    It can be done with some open source packages. My concern is: Will you provide any service to those bad guys?

    For example, a bad guy keeps scanning your open ports. Suddenly he tried to connect your web server once he found it.
    Do you treat this guy as a friend or not? 

    Yes, permanent block some IP addresses is not a good idea as they may come from a proxy server or a shared gateway.
    But, you can config it how long to block and release those IP addresses automatically.

     Another way is a hack to Astaro. It's working but I would really a simple feature to do it in Astaro so I don't have to power up two servers for firewall thing! :-)

    Thanks,

    Hsinan