Hallo,
unter Anwendungen > IDS/IPS besteht die Möglichkeit, IP-Adressen sowohl als Quell- als auch Zieladressen systemweit abzulehnen. Allerdings kann im Webfrontend nur jeweils eine IP-Adresse gleichzeitig eingetragen werden, was bei einer größeren Anzahl von Adressen wenig praktikabel ist. Ich würde gerne über diesen Mechanismus beispielsweise TOR Exitnodes sowie, wenn möglich, kommerziellen VPN-Anbietern den Zugriff verwehren.
Leider finde ich keine Möglichkeit, dies per CLI-Script automatisiert durchzuführen. Gibt es eine Blacklist.txt oder eine ähnliche Datei im System, die man einfach auf die Securepoint UTM kopieren kann, um die entsprechenden IP-Adressen zu blockieren? Falls ja, wäre es auch hilfreich, den entsprechenden Dienst nach dem Kopieren neu zu laden. Eine andere Methode zur Speicherung von massenhaft IP-Adressen wäre ebenfalls von Interesse. Zudem wäre es vorteilhaft, die Möglichkeit zu haben, IP-Adressen wieder zu löschen, zum Beispiel TOR Exitnodes, die auf dynamischen IPs laufen.
Gruß,
Kai
Massenimport von IP
Moderator: Securepoint
Hallo,
über die CLI geht das
hier der Befehl
https://wiki.securepoint.de/UTM/CLI/Ext ... global_set
brauchst halt ein Script, welches den Befehl erstellt und auf der Firewall per SSH ausführt
über die CLI geht das
hier der Befehl
https://wiki.securepoint.de/UTM/CLI/Ext ... global_set
brauchst halt ein Script, welches den Befehl erstellt und auf der Firewall per SSH ausführt
Ergänzung:
Also der Befehl lautet: spcli extc global set { variable GLOB_BLOCK_ADDRESSES value [ 10.12.1.1 10.12.1.2 ] }
Es ist zu beachten, das ALLE gewünschten IPs mit einem Rutsch übertragen werden (IPs mit Leerzeichen getrennt), da mit jeder Ausführung der (die) vorherigen Einträge überschrieben werden.
Ich habe mir ein Script gebastelt welcher alle TOR Exitnodes aus dem Internet lädt und zusätzlich noch aus ulogd* alle Einträge die wegen CommandAndControl_Re rejected wurden.
Ich habe so ca. 1.500 IPs mit diesem Befehl in die systemweite Blockliste eingetragen und das hat die UTM klaglos so hingenommen.
Gruß
Kai
PS.: Falls jemand eine gute Quelle für IPs die von kommerziellen Anonymisierungsdiensten (z.B. NordVPN, ExpressVPN, CyberGhost etc) hat, wäre ich dankbar dafür.
Also der Befehl lautet: spcli extc global set { variable GLOB_BLOCK_ADDRESSES value [ 10.12.1.1 10.12.1.2 ] }
Es ist zu beachten, das ALLE gewünschten IPs mit einem Rutsch übertragen werden (IPs mit Leerzeichen getrennt), da mit jeder Ausführung der (die) vorherigen Einträge überschrieben werden.
Ich habe mir ein Script gebastelt welcher alle TOR Exitnodes aus dem Internet lädt und zusätzlich noch aus ulogd* alle Einträge die wegen CommandAndControl_Re rejected wurden.
Ich habe so ca. 1.500 IPs mit diesem Befehl in die systemweite Blockliste eingetragen und das hat die UTM klaglos so hingenommen.
Gruß
Kai
PS.: Falls jemand eine gute Quelle für IPs die von kommerziellen Anonymisierungsdiensten (z.B. NordVPN, ExpressVPN, CyberGhost etc) hat, wäre ich dankbar dafür.