Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bannen von bestimmten Hosts bzw. Netzbereichen

Hi, 

ist es mit der UTM möglich einzelne IPs und Netranges per CIDR zu Sperren sodass diese von aussen keine verbindung mehr zu meinem Host etabliern können?

Ich habe nach dieser Option gesucht aber ausser dem CountryBlocking nichts derart gefunden.


This thread was automatically locked due to age.
  • Ja, das ist möglich. Ich lege hierzu für die IPs oder Ranges jeweils ein Netzwerkobjekt an.

    Du kannst diese dann auch in eine Gruppe zusammenführen. 

    Ich habe zum Beispiel eine Gruppe für diejenigen, die sich gerne mal bei mir per SMTP anmelden wollen (in dieser Gruppe "SMTP-Attacker" sind einzelne IPs aber auch ganze IP Bereiche). 

    Ich lasse diese Gruppe dann per NAT dann in ein Blackhole 1.1.1.1 laufen. Siehe Screenshot

    Alternativ könntest Du auch eine "Drop"-Regel anlegen die wie folgt lautet:

    "Netzwerkgruppe der zu sperrenden IPs" -> ANY -> WAN"
  • Danke tim2611, also per DNAT kann man bannen. Gut, ich habe nun solch eine Regel angelegt, mal schauen ob diese nun gesperrten Hosts nochmal aufm Netzwerkmonitor auftauchen. Wenn nicht, funzt es wohl [;)]
  •  also per DNAT kann man bannen. 


    Viele Wege führen nach Rom [;)]
    ob per DNAT oder einfacher Firewallregel...
  • Ich versuche im Selbsttest mein Handy den Zugriff auf mein Webserver zu Sperren aber es funktioniert bei meiner UTM nicht, weder per DNAT noch per Drop regel. Egal ob ich ne einzelne IP oder ganze Ranges als Network Definition anlege. Es scheint höchstens ausgebremst zu werden aber meine Website wird trotzdem geladen. Ich hab einiges probiert aber ich weis nicht mehr weiter...

    Auch wenn ich die DNAT Blackhole Regel ohne Automatic FW Rule anlege und diese selbst erstelle wird der Source Host nicht geblockt.

    Fragt mich wenn ihr weitere Infos braucht die hilfreich wären damit das Sperren bei mir funktioniert.

  • Auch wenn ich die DNAT Blackhole Regel ohne Automatic FW Rule anlege und diese selbst erstelle wird der Source Host nicht geblockt.

    Fragt mich wenn ihr weitere Infos braucht die hilfreich wären damit das Sperren bei mir funktioniert.


    Häng doch mal bitte einen Screenshot von der DNAT rule an.
    Dein Handy hat aber sicher eine "interne" IP, also gleiches Netz wie Deine Webseite?

    Läuft bei Dir auch der Webproxy der UTM?
  • Ich versuche Geräte von ausserhalb meines Netzes zu sperren, ob nun Handy oder Surfstick, diese haben Externe IPs, in diesem fall 109.42.0.0/16

    Die DNAT Regel sieht so aus:
    UTM-DNAT-1.png

    In der Gruppe HTTP/S sind die Ports 80 & 443. Aber auch wenn ich die "Any" regel oder einzelne Service Definitionen + Dest.-Transl. service zB HTTP angebe tut dies keine wirkung.

    Ja es läuft der Webfilter im Standart Mode ohne Authentication erlaubt fürs Internal Network.
  • Ist der Webserver per DNAT auf External erreichbar?
    Beachte bitte auch "First Match". Und die Auto FW Rules abwählen ...
  • Die DNAT Regel des Webservers:
    web-srv-DNAT_1.png

    Die Interfaces des Webservers & des Blackholes sind auf > gesetzt.

    Was genau ist mit "First Match" gemeint?
  • Du hast die DNAT Regel auf bottom. Da das DNAT vom Webserver Regel drei ist, greift die als erstes ... es gilt immer das erste, was zutrifft. Dein 1.1.1.1er DNAT muss vor die Webserver DNAT.
  • Also daran lags... Jetzt funktioniert es, vielen Dank [:)]