Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1150 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

pf rule not working?

dragnfire
for nearly a week now ip 61.238.158.21 originating from Hong Kong has been hammering a sip attack on my pbx, I have created the following packet rule but I don't see the ip being blocked by packet rule, just shows "default drop" which is filling up my logs fast, that's why I know with the pf rule I can instruct it too not log traffic. Here is the PF rule I created:

Position 1
Source: host 61.238.158.21
service: any
Destination: any

any ideas?? 

Derek "Astaro newbie"


This thread was automatically locked due to age.
Parents
  • 0
    Did you check the box for logging in this rule?  By default, logging is not enabled on rules. If you don't do business with others in Hong Kong, you may also want to try country blocking. In both cases though, these will only stop the attack from getting past your box. You may want to consider contacting your ISP about the possibility of blocking the attack further upstream or registering an abuse complaint with the ISP that owns the source address.
  • 0 in reply to Scott_Klassen
    Did you check the box for logging in this rule?  By default, logging is not enabled on rules. If you don't do business with others in Hong Kong, you may also want to try country blocking. In both cases though, these will only stop the attack from getting past your box. You may want to consider contacting your ISP about the possibility of blocking the attack further upstream or registering an abuse complaint with the ISP that owns the source address.


    Yes, I have it set to log, (which is what I'm looking for, once I see it's successfully being blocked and logged I can turn off the logging to save on my log file space).

    I originally started by just using the Country Block, but unfortunately there is no way that I'm aware of to not log this traffic, so once again it'll fill up my logs in no time. (millions of requests being sent from this ip per day).

    I have also contacted my ISP, not much they're willing to do except change my IP (which isn't a good option, I have a block of static ips), I have also contacted that IP's ISP, they're telling me it'll take 7 days.

    here are some screenshots.





    thanks

    Derek
Reply
  • 0 in reply to Scott_Klassen
    Did you check the box for logging in this rule?  By default, logging is not enabled on rules. If you don't do business with others in Hong Kong, you may also want to try country blocking. In both cases though, these will only stop the attack from getting past your box. You may want to consider contacting your ISP about the possibility of blocking the attack further upstream or registering an abuse complaint with the ISP that owns the source address.


    Yes, I have it set to log, (which is what I'm looking for, once I see it's successfully being blocked and logged I can turn off the logging to save on my log file space).

    I originally started by just using the Country Block, but unfortunately there is no way that I'm aware of to not log this traffic, so once again it'll fill up my logs in no time. (millions of requests being sent from this ip per day).

    I have also contacted my ISP, not much they're willing to do except change my IP (which isn't a good option, I have a block of static ips), I have also contacted that IP's ISP, they're telling me it'll take 7 days.

    here are some screenshots.





    thanks

    Derek
Children
No Data