Blocking specific IP addresses

If you have networks that you want to block, put them in the transparent mode skiplist (only works if you're running in transparent mode).  You seem to NOT have any packet filter rules allowing port-80 traffic, so packets from servers in the transparent mode skiplist will not be allowed.  If, however, you are allowing outbound port-80 traffic, then you'll need a blocking rule placed above (before) the allow rule.

Cheers - Bob
PS If you've been using the transparent mode skiplist to allow unproxied traffic with certain hosts and have had the "Allow" box checked, then you'll need to create a packet filter rule allowing this traffic.

PPS I think Coder knows this, but for others who read this, remember that the Astaro is a stateful firewall, so the traffic you need to allow is only the outbound traffic - the "requests" for the URLs - responses are reecognized by the Astaro connection tracker (conntrack) and allowed to pass.

I am aware that Astaro is a stateful firewall and that unless someone on the inside started the "conversation" the incoming packets will be blocked on all ports unless given permission to come in. 

However, I want to stop any internal PC from being able to connect to any IP in the China, Russia range.  I want this for several reasons, but the three biggest are:

1. If a PC were to get infected, I do not want it to be able to talk to it's C&C server. While not all C&C servers will be in China or Russia, a good number are. Since the infection would start the conversation, the firewall would allow it. 

2. Many fraud/malware/phishing sites are in China and Russia as well.  If I block my network from these IP's the chance of going to one of these types of site is reduced. 

3. If a PC were to get exploited, many of the exploits try to download other malware from servers in China and Russia. While not all of these servers are in China or Russia, this would still help to lower the chance of further exploitation. 

In a traditional setup, not a UTM setup, the firewall has last say on traffic.  It would seem that in a UTM the firewall would have last say in traffic but look at exceptions that would allow this network out to this IP. 

After some quick testing...
It appears that Transparent with authentication block access to these sites, but even with an allow MSN.com in my filter actions, that site is still blocked.  If I add a Packet Filter that allows msn.com and place that filter at the top, it should allow it, but it is not letting me out to MSN!!!

What gives?

I will test it out more after work... tomorrow.

Thanks!

C68

I am aware that Astaro is a stateful firewall and that unless someone on the inside started the "conversation" the incoming packets will be blocked on all ports unless given permission to come in. 

However, I want to stop any internal PC from being able to connect to any IP in the China, Russia range.  I want this for several reasons, but the three biggest are:

1. If a PC were to get infected, I do not want it to be able to talk to it's C&C server. While not all C&C servers will be in China or Russia, a good number are. Since the infection would start the conversation, the firewall would allow it. 

2. Many fraud/malware/phishing sites are in China and Russia as well.  If I block my network from these IP's the chance of going to one of these types of site is reduced. 

3. If a PC were to get exploited, many of the exploits try to download other malware from servers in China and Russia. While not all of these servers are in China or Russia, this would still help to lower the chance of further exploitation. 

In a traditional setup, not a UTM setup, the firewall has last say on traffic.  It would seem that in a UTM the firewall would have last say in traffic but look at exceptions that would allow this network out to this IP. 

After some quick testing...
It appears that Transparent with authentication block access to these sites, but even with an allow MSN.com in my filter actions, that site is still blocked.  If I add a Packet Filter that allows msn.com and place that filter at the top, it should allow it, but it is not letting me out to MSN!!!

What gives?

I will test it out more after work... tomorrow.

Thanks!

C68

Hi, always check the proxy, packetfilter, and IPS logs first when trying to track down a blocked address.

Barry