Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1477 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Block special IP does NOT work

drgoebel
Hi @ all,

I have heavy traffic on my external interface (inbound), the Bandwith monitor shows only my external IP and the Destination IP (no Hostname can be resolved).

HOW can I find out who is gernerating that traffic, and how can I block it?
I created already a packet filter rult to deny any service from and to this IP, but it dows not work.

help please !!


This thread was automatically locked due to age.
  • 0
    Block with ;
    WebSecurity/ URL filtering/ Additional URLs sites to block
  • 0 in reply to profesor
    tried, not working, using only the ip, and can not access the ip with internet explorer anymore, but there is still the heavy traffic....
  • 0 in reply to drgoebel
    Hi,
    how often does this occur?

    You could be seeing the up2date packages.

    The daily reports should show you packet types and whether the traffic is coming into the http proxy or the packet filters.

    Ian M
  • 0 in reply to drgoebel
    check packet filter rules again...
    and what say log? packet filter and https log...
  • 0 in reply to profesor
    When I generate the Daily Summary, ti is caused by network usage, Packet Filter.

    It is the IP 80.157.150.96, 217.89.105.160, 217.89.105.161

    I defined ANY - ANY- IP DROP
    and IP - ANY - ANY DROP

    Not working.

    Searching the logfiles was NOT successful (very strange!)
  • 0
    This is something I just learned late last year about the iptables system in Astaro.  Here's Alan Toews' explanation of why I had the same problem:

    The log provided, shows everything working as intended. The packet was dropped by fwrule 60001, which is the default drop rule for the INPUT chain. 

    It may seem odd that your pf rule didn't match, and instead, hit the default drop rule. The explanation is relatively simple. Packets being sent TO the Astaro are matched against several iptables INPUT chains. packets being sent THROUGH the Astaro, are matched against several iptables FORWARD chains. All rules created in the packet filter are created in the USR_FORWARD chain, so only applied ot packets being forwarded through the Astaro. The packet logged above was trying to reach port 80, which you probably don't have a DNAT rule for. Since Astaro isn't forwarding the packet, it only hits the INPUT chains, and thus doesn't match your rule. This doesn't change the behavior in any way, since the packet is still dropped. If you want to drop these packets also, creating the same pf rule, but with the external address as the destination will put the rule in the USR_INPUT chain, and the packet will match that rule explicitly, instead of the default drop rule.

    So, instead of 'IP -> Any -> Any : Drop', use 'IP -> Any -> External (Address) : Drop'.

    Cheers - Bob
  • 0 in reply to BAlfson
    Great, thanks so much !