Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 3153 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Irritating portscanner...

PabloDiablo
Hi all,
For the last 3 weeks, I have a very irritating person who's scanning my ports 4 times a day!
I know ASG will drop the packets but I want to block his IP permantly!
In iptables there's an option to drop his connection. Is it possible to disable his IP to access the firewall? If so, how do I do this?

in the meanwhile: Everyone: HAPPY NEW YEAR !!!


This thread was automatically locked due to age.
Parents
  • 0
    Hi, the Traffic Destination should be External WAN Address.

    Do not set an 'auto packet filter rule' on that page.

    To be safe, create a PacketFilter rule of that source IP to any, any service, drop (or drop log).

    Barry
Reply
  • 0
    Hi, the Traffic Destination should be External WAN Address.

    Do not set an 'auto packet filter rule' on that page.

    To be safe, create a PacketFilter rule of that source IP to any, any service, drop (or drop log).

    Barry
Children
  • 0 in reply to BarryG
    and what if I only make a PF-rule and put it at the top of the PF-list:

    Source: IP to be dropped
    Service: ANY
    Destination: ANY
    Action: DROP

    Is this enough to deny/drop this IP?
  • 0 in reply to PabloDiablo
    The Packet Filter rule alone will not work (as I explained in my first reply); the portscan detector gets to look at IP traffic before the packet filter.  With just the packet filter rule, yes, the traffic will never make it beyond the outside interface, but the Portscan detection will still be triggered.  Currently you have to configure the "blackhole" DNAT rule.  And Barry is correct, use the external IP Address(es) instead of ANY as the Destination in the DNAT rule.

    Hopefully Astaro will include a blacklist option for the portscan detector in a future release, doing it this way is admittedly a bit "kludgy."
  • 0 in reply to BrucekConvergent
    al righty then I set it up as follows:

    PF Rule:
    Source     : IP(s) to be dropped
    Service    : ANY
    Destination: ANY
    Action    : DROP

    DNAT Rule:

    Traffic Source     : IP(s) to be dropped
    Traffic Service    : ANY
    Traffic Destination: ANY
    NAT Mode           : DNAT
    Destionation       : IP of a not existing host on LAN

    Please correct or give a "nicer" setup...