externe IP Blocken. Aber wie?

Petercool

HAllo Gemeinde,

Ich habe meine EFW vor meinen Server gesetzt. alles spielt auch ganz toll.
nun Möchte ich gern IPs Blocken die teilweise 20 anfragen Pro sekunde schicken auf immer die Gleiche Datei.
leider habe ich nochnichts gefunden wo ich das einstellen kann.

KAnn mir jemand mal behielflich sein wo und wie ich das einstellen kann.

DAnke
Gruß Peter aus berlin

Sabine

Moin,
ich verstehe nicht ganz was du willst . . . .
Wo stehen die Rechner die die Anfragen senden ?
Sind im Grünen Netz ? Wie dein Server und dein Rechner ?
Oder kommen die von außen und wollen über das Rote Netz rein ?

Gruß Sabine

Thargoid

So etwas ähnliches suche ich auch.

Mir ist aufgefallen das 97% aller Angriffe aus bestimmten Ländern kommen, habe diesbezüglich auch schon alle IP Ranges von den Netzen aus dem wir ständig gescannt werden gesammelt.

Zum Konkreten Fall.

Wir betreiben einen kleinen FTP Server für ein paar Kunden von uns, auf diesem Server sehe ich ständig Login Versuche von Asiatischen IP Adressen (teilweise auch Bulgarien, Russland, etc.).

Nun habe ich IP Sperrlisten am FTP Server eingerichtet und diese würde ich gerne auf den gesamten IP Verkehr an der Firewall blocken.

Regel sollte so aussehen.

Sperre den IP Range 1.0.1.0 - 1.0.3.255 für jedlichen Port bei Zugriff über die Rote Schnittstelle.

PS: China hat 1648 subnetze mit öffentlichen IP Adressen

Danke fürs lesen und mögliche Antworten

Sabine

Moin,
das einzige was mir dazu einfällt ist eine Portweiterleitung für bestimmt Ips auf eine nicht benutzte Schnittstelle z.b. die Blau.
Also von IP 1.0.1.0 , 1.0.1.2 , 1.0.1.3 usw. von Port 80 nach Port 80 auf Blau

Also von IP 1.0.1.0 , 1.0.1.2 , 1.0.1.3 usw. von Port 21 nach Port 21 auf Blau

Damit würde man die Ips und ihre Anfragen ins Nirwana schicken . . .

Ist halt eine Mordsarbeit . . .

Gruß Sabine

Sabine

Moin,
kann es sein das die Angriffe die ihr meint von 58.218.199.xxx kommen !

Sehe ich hier auch ständig, hauptsächlich von Port 12200 auf alle möglichen Service Ports, China lässt grüßen.

Geht das anderen auch so ?

Gruß Sabine

ffischer

Hallo,
ja aus China hab ich auch recht viel.
Aber nicht nur auf der Endian auch aufm WebServer, sehr sehr nervig!

gruß

Sabine

Moin,
möchte gerne mal wissen mit was für einem Tool die da scannen ?
Immer der gleiche Quellport . .. .

ffischer

Moin,

http://isc.sans.edu/port.html?port=12200

hier bei Comments da ist auf dem Ersten Platz gleich die IP wie du sie hast

Bau dir doch was passendes alles was mit der IP sowie so und dem Port X kommt schickst intern irgend wo ins Nirvana
gruß

Sabine

Ja, das wäre eine Möglichkeit ( hatte ich ja oben auch schon beschrieben )

Mich stört das ja nicht . . . Wird ja von der Firewall geblockt !

Mich wundert halt wie die über einen längeren Zeitraum mit der immer gleichen IP ganz Deutschland oder die halbe Welt scannen können ohne einen auf den Nüs.. zu kriegen. . . .

Benutzer online in diesem Thema