Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 3152 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Irritating portscanner...

PabloDiablo
Hi all,
For the last 3 weeks, I have a very irritating person who's scanning my ports 4 times a day!
I know ASG will drop the packets but I want to block his IP permantly!
In iptables there's an option to drop his connection. Is it possible to disable his IP to access the firewall? If so, how do I do this?

in the meanwhile: Everyone: HAPPY NEW YEAR !!!


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Hello All.

    Just out of interest does this wally's ip end ***.***.105.163

    If so he has been filling my inbox with portscan alarms for 2 months, I have reported him ect and posted about it on a few sites.

    I to would be very interested in a way to completely and totaly block all trafic to and from this moron. I had already made a packet filter rule over a month ago and tried a DNAT rule, All trafic is being blocked but I am still getting the alarms.

    I do not want to omit this IP from the IDS despite having a PF rule and I agree that a way to block before any IDS or PF is needed as there is little any of us can do about people in China who decide to bombard us with junk packets.

    Otherwise I love my ASG and it does a fab job for me [:)]

    Thanks all

    Stuart
  • 0
    Hi all,

    I have same problem, but my post is here with different topic:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39504

    Is that possible to do it in terminal? For example, I don't want to open Web
    Admin and shell access from WAN, so the way I want to do is from my IDS inside LAN, and automatically block it via:

    /usr/sbin/iptables -A INPUT -s 222.122.161.197 -j DROP

    In such case above, I don't even need to add them manually from WedAdm, or modify it from WAN. Just not quite sure if this is really a good idea.

    Thanks,

    Hsinan
  • 0 in reply to Hsinan
    Hiya.

    My problem is not blocking this wally, Its stopping him from setting of the IDS 20 times a day.

    I would just do what I have done for the moment and create a DNAT rule or a PF rule / or both bo block trafic from him.

    Its hard to tell if this is actualy someone scanning or an infected machine, It does seem to change its attack patterns and methods. I have had probes on other services as well as port scans. In one attack the guy/machine was trying my SQL and HTTP for PHP flaws.

    NB you can use the bulk ip block as I do already. There are plenty of hosts files that in the right format can be imported, Be aware however that the web GUI will slow right down and sometimes hang, I would recomend importing them block by block.

    Any one from Astaro got any ideas aside from switching of email notification on my ASG ?
  • 0 in reply to stuartbe
    This is now becoming a pain, I have had to turn off email notification on the IDS. I as well as hundreds of other people have reported this guy HERE

    There must be a way to stop this blacklist this IP, I have reported this to my ISP and despite working closely with them there is little I can do.

    Hoping for an answer real soon.

    BTW I have tryed the DNAT to a fake internal IP and PF rules, Both work to block the trafic but dont stop 20-30 IDS email alerts every day.
  • 0
    Well after another week of junk flying towards me I have made another report on Ipilion and am thinking of envolving the police.

    If there is no way to stop these IDS alerts then it needs to be raised as a feature request.

    Its a smage as anyone who wants to anoy an astaro firewall owner just has to portscan a few times to create lotts of alarm emails, Rather a shame as otherwise the ASG is a cracking bit of kit.
  • 0 in reply to stuartbe
    *bump*

    Any news on a way round this, Aside from turning of email alerts I can do nothing else.
  • 0 in reply to stuartbe
    Hello all.

    Someone has sugested adding the IP to the exeptions list for portscan. Only thing that wories me about that is that the trafic may be treated as friendly. I dont want any reply or packets coming in or out of my network from this ip.

    Will a PF rule blocking incoming and outgoing trafic be enough to stop this ?

    Is it safe to add the IP to the exeptions list ?

    Ta
  • 0 in reply to stuartbe
    I can verify that the "blackhole" DNAT rule discussed earlier (and recommended by Astaro support) does not work to block the portscanner detection.  Do rest assured that having a packet filter rule or blackhole DNAT Rule (or both) does prevent that remote portscanner from getting anywhere, but the portscan detectoin system still fires; it is definitely annoying.
  • 0
    In which case, would a Portscan Exception be OK?

    Barry