Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 3 subscribers
  • Views 15037 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wildcard domain in packet filter?

TXMRS
Is there a way to specify a wildcard when defining networks by domain name?

I am trying to setup a packet filter rule to block all traffic to/from all hosts in a particular domain.  I've tried using the "DNS group" option but it does not seem to accept wildcards.

For example, I want to block all traffic from *.baddomain.com

I've created a DNS group entry for "baddomain.com" (without the quotes), and it will resolve one IP address, but it does not appear to resolve any of the subdomains.  If I enter "*.baddomain.com" it says it's unresolved.

I'm only using packet filter rules; no proxies.

The contextual help does not specify, and I've had no luck searching the forums, so if this is answered elsewhere, I apologize!

We're running 7.502.

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    Unfortunately the dns group doesn't include subdomain. Just curious what you are trying to block. If it is http request, you will have a lot more control with http proxy where you can allow all other traffic non proxied and only deny "baddomain"
  • 0 in reply to Billybob
    We are only using Astaro as a first-level packet filter, and not doing any advanced filtering/proxies/blocking/inspection.  We have seen some strange traffic from some Russian and Chinese hosts, and they have MANY subdomains, all of which we feel are potential threats.  We want to simply drop the traffic without inspection of the contents.

    We only have the packet filter enabled; nothing else!

    Thanks!
Reply
  • 0 in reply to Billybob
    We are only using Astaro as a first-level packet filter, and not doing any advanced filtering/proxies/blocking/inspection.  We have seen some strange traffic from some Russian and Chinese hosts, and they have MANY subdomains, all of which we feel are potential threats.  We want to simply drop the traffic without inspection of the contents.

    We only have the packet filter enabled; nothing else!

    Thanks!
Children
  • 0 in reply to TXMRS
    So is there a way it can be done?  DNS group seemed the most likely, but it seems like this might be a useful feature?  We want to block ALL traffic to/from these domains, not just certain ports.

    Thanks!