IP Blocking auf WAN Network

Halo DaPedda ,

Vielen Dank, dass Sie sich an die Community gewandt haben. Ich würde vorschlagen, die Ländersperre zu verwenden, da die folgenden IPs zu Malaysia gehören.

 

Hallo Vivek,
das habe ich tatsächlich nach diesem Post auch gemacht. Es mag für die kleinen Länder funktionieren, wo wir keine Kundenbeziehungen haben. Aber wenn Österreichische Versender auftreten, habe ich ein Problem.

Nehmen wir mal 176.96.103.36, versendet aus AT SPAM. Gehört zu AS8649 ZeXoTeK IT-Services GmbH  mit 176.96.96.0/19
Dieses Netz möchte ich sperren. Den Eintrag dazu findet man im Screenshot. Die Regel greift aber nicht und ich verstehe nicht, warum. Das Paket müsste doch schon an die externe Karte abgewiesen werden. Aber ich habe es auch schon mal mit unseren internen Netzen versucht, ging auch nicht.

Viele Grüße,

Peter

Nun, aus der Geoip-Datenbank kann ich das Netzwerk sehen und die IP gehört zu - Österreich, Ausgabe unten:

# geoiplookup 176.96.103.36
GeoIP Country Edition: AT, Austria
 # geoiplookup 176.96.96.0
GeoIP Country Edition: AT, Austria

Ich sehe im Screenshot, dass Sie eine Ablehnung/Sperre erstellt haben.
Können Sie in den Paketfilter.logs nachsehen und die IP/das Netzwerk filtern, um zu sehen, ob der Datenverkehr zugelassen oder blockiert wird?

B. - tail -f /var/log/packetfilter.log | grep <src_IP>

Nach der IP zu suchen war erfolglos. Ich habe aber im Weblog nach fwrule="7" gesucht und wurde heute fündig: eine IP 51.158.145.144 (passt zum Netzwerk im Screenshot) mit dem einem Destination Port 5070 / app=445

Sonst nix. weder heute, gestern oder die ganze Woche. Dafür haben aber heute wieder zwei Sender zugestellt, aus den Netzen 176.96.96.0/19 und 104.148.89.0/24. Beide tauchen im packetfilter.log nicht auf

Ich frage mich langsam, ob die Netzwerkdefinition von mir richtig angelegt worden sind.

Edit: ein Kollege hat einen Tip gegeben: zu Hause hat er eine UTM Home Edition. Dort sollten IoT Geräte nicht nach draussen. Allerdings hatte er den Webproxy am laufen, so das die Regeln nicht gegriffen haben. Hat er den Proxy ausgeschaltet, funktionierten die Regeln. Ist es möglich, das das Modul Email Protection dazwischen funkt? Denn wie oben beschrieben, scheint die Regel für sich alleine ja zu funktionieren.

Nach der IP zu suchen war erfolglos. Ich habe aber im Weblog nach fwrule="7" gesucht und wurde heute fündig: eine IP 51.158.145.144 (passt zum Netzwerk im Screenshot) mit dem einem Destination Port 5070 / app=445

Sonst nix. weder heute, gestern oder die ganze Woche. Dafür haben aber heute wieder zwei Sender zugestellt, aus den Netzen 176.96.96.0/19 und 104.148.89.0/24. Beide tauchen im packetfilter.log nicht auf

Ich frage mich langsam, ob die Netzwerkdefinition von mir richtig angelegt worden sind.

Edit: ein Kollege hat einen Tip gegeben: zu Hause hat er eine UTM Home Edition. Dort sollten IoT Geräte nicht nach draussen. Allerdings hatte er den Webproxy am laufen, so das die Regeln nicht gegriffen haben. Hat er den Proxy ausgeschaltet, funktionierten die Regeln. Ist es möglich, das das Modul Email Protection dazwischen funkt? Denn wie oben beschrieben, scheint die Regel für sich alleine ja zu funktionieren.

Lösung gefunden: DNAT auf Blackhole
Siehe Best way to blacklist a (potentially large) number of IPs in SMTP profile - Mail Protection: SMTP, POP3, Antispam and Antivirus - UTM Firewall - Sophos Community und Rulz - Recommended Reads - UTM Firewall - Sophos Community