Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 4838 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to black hole route an external IP?

DZody
I've been getting port scanned by one particular IP that resolves to a block in China and was going to configure a black hole route to deal with the constant scans. Would I need to create a network definition for that IP / IP range and black hole that, or is there another way this should be done?

Incidentally the IP is 60.173.11.56 , I've gone over every thing inside my network to try to find anything residing there that might be causing the scans but I've come up with nothing, as far as I can tell there's no evidence of malware that may be causing this.


This thread was automatically locked due to age.
  • 0
    Are you trying to make sure that IP cannot access your network, or just stop the logging?

    If you don't allow any incoming traffic, you don't need to worry about it.

    If you do, just create a PacketFilter rule to Drop all traffic from that source, and put it above any rules for incoming traffic.

    Barry
  • 0 in reply to BarryG
    If I'm understanding correctly the way to set this up would be to create a network definition for the /16 the DNS lookup showed, then set up the packet filter something like this? 
     
    Source: 60.160.0.0 --> Service: Any --> Destination: Any --> Action: Reject --> Time Event: >
  • 0
    Might be better to Drop rather than Reject just so they are less aware of you, but no big deal either way I think.
  • 0 in reply to dswartz
    A good suggestion, no need to turn idle curiosity into active interest. Thank you both for the assistance, very much appreciated!