Blacklist/Whitelist with Firewall rules

Hi, there is a bulk-import for IP lists in the GUI, in 7.5.

Barry

Hi Barry,

Sorry, but where can I find "bulk-import"? I just used the ASG demo, but I didn't find it in "Network Security" and others. Besides, is any example to add one or few IPs in command line? 

Thanks,

Hsinan

Just have a try on my Astaro 7.502 with the following command:

/usr/sbin/iptables -A INPUT -s 222.122.161.197 -j DROP

It seems working, but not sure if any good 3rd tool to update and block bad IP automatically. I have a IDS inside my LAN, and I want to import it to Astaro.

Thanks,

Hsinan

OK, still didn't find where to import a list of IPs into Astaro, but I have concerns on doing it in terminal (or remotely) as /etc/motd says:

NOTE: Any modifications done by root will void your support.
      Please use WebAdmin for any configuration changes.

What I want to do is, import a list of bad IPs from IDS to Astaro, so those bad IPs will be blocked. Does anyone have any suggestion? 

Thanks!

Hsinan

Hi guys,

Sorry I need to bring up this topic for attention, and looking for a better solution.

There is one IP 61.139.105.163 from china, keep trying to access ssh or port scan daily.
After I search online, suddenly got this report: scanning my port

This guy is actually top #1 complaints!

So, besides adding it via web GUI, is there any suggested way in terminal to do it, except my current "unsupported" way below?

/usr/sbin/iptables -A INPUT -s 61.139.105.163 -j DROP

I used EnGarde Linux before, and it comes with a blacklist/whitelist feature. You can easily add IP address into the list, that's it. You don't have to setup a firewall rule, type some commands in terminal. This is what I preferred solution. 

Thanks,

Hsinan

Hsinan, I think Barry was in a hurry when he posted the above... there is no bulk-entry of IPs into a group definition.  But, maybe there's a more "Astaro" way to solve your problem.  I also was having portscan and other hack attempts from two groups of IPs in China, so I created the attached Network definitions, Network Group definition and Packet Filter definition.

That accomplishes only removing the drop messages from the packet filter log as the Astaro IPS blocks all such attempts anyway.

Cheers - Bob

Hi Bob,

Thanks for update. I know we can do it in web GUI like this. However, we need to add them manually. My thinking, or I want to confirm my current solution is that my internal IDS will generate a bad IP list, and I can write a script or remotely add them into my Astaro device.

The reason I want to confirm is that, for example, I add IP 1.2.3.4 in Astaro unix terminal, however, I didn't see it in my Astaro admin web. If I do "iptables -L", my firewall rule is still there. I try to block myself from another network, and looks working. 

So, it "looks" like working....:-)

Am I right?

It probably won't survive a reboot and most Up2Dates.  You said: "What I want to do is, import a list of bad IPs from IDS to Astaro, so those bad IPs will be blocked. Does anyone have any suggestion?"  Since Astaro bocks nefarious activity from any IP, why would you need to import specific IPs?  What problem would you solve by importing a list of IPs?

Cheers - Bob

Hi Bob,

I would like to block those bad IPs permanently for all services, don't even waste any time/power of Astaro device to perform check & block them at run time, and an automatic way from IDS to import those bad IPs list from remote to Astaro.

Thanks,

Hsinan

Packet filter rule to drop at the firewall. Internet traffic hits that first before and IDS or content filter scans. No resources involved.