Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2806 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP BLock Lists - Why Not?

dcc24
I get dozens of brute force external ssh login attempts into my internal mail and web servers everyday.  I wish for an option to populate a list of IP nets and make one rule to block all to/from these hosts.  I'd rather not define a network or host in webadmin (ie. Definitions -> Networks -> New Definition -> Network or Host and then one Network Group which includes all of those definitions) for every one of these nets just to be able to block them.  This may sound more like an ACL on an external router sort of thing, but a firewall should allow a simple and convenient manner to block a large disparate number of nets.  

I have seen a few posts regarding manually updating iptables.local.  If that is the best and preferred solution could someone please shout it out.  Or is there something I'm missing in the webadmin interface?

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Wouldn't it make more sense to limit ssh acces to your internal servers from specific IP addresses? 

    The problem with "blocklists" is that you are forever updating them. What's the point of that when when you can limit the inbound addresses and solve the problem once for good?
  • 0 in reply to jjohnston62
    Thanks.  That's a good point, but I need the ability to remote admin from virtually anywhere.  I have several remote offices on non-static IPs (DSL) and in my travels I never know what endpoint I'm coming from.  VPNing is a good solution to be able to get in, however this request extends to beyond just me getting in.  I see abusive hacks all the time into my web servers on port 80, smtp on 25, and other "public" services.  I'd assume put in blocks against the abusive IPs and  perhaps all of xxxx country who don't need my stuff.  I hear you on updating the list all the time, but that's what security freaks do.  I just want to make it easy.
  • 0 in reply to dcc24
    One of many reasons why a block-list is always a wrong start. IP-Spoofing.

    You are following the policy "allow all that is not explicit denied". This means a hell of a lot of work for you. And this means, more room for failures, and because of that less security. This policy normaly fits for service providers, but not normal corp. networks.

    Find a way to identify your remote offices, either by dyndns or by some "home-made" dns/ip system. The "default" port attacks on ports 80 or 25 a more or less normal nowadays. Not much you can do against it, beside keep your server tight and up2date.
Reply
  • 0 in reply to dcc24
    One of many reasons why a block-list is always a wrong start. IP-Spoofing.

    You are following the policy "allow all that is not explicit denied". This means a hell of a lot of work for you. And this means, more room for failures, and because of that less security. This policy normaly fits for service providers, but not normal corp. networks.

    Find a way to identify your remote offices, either by dyndns or by some "home-made" dns/ip system. The "default" port attacks on ports 80 or 25 a more or less normal nowadays. Not much you can do against it, beside keep your server tight and up2date.
Children
No Data