Destination IP on Spyware Blocklist
In einem aktuellen Supportfall ging es darum, dass keine E-Mails an eine bestimmte Domain geschickt werden konnten (X Core UTM-Bundle mit Fireware 10.2.9). Im Logfile fanden sich Deny-Meldungen
[…] Q9 Networks Inc, destination IP on Spyware Blocklist, firewall drop (internal policy)Der Kunde hatte unter Setup > Default Threat Protection > Blocked Sites die Antispyware Blocklist aktiviert, zum Schutz vor Adware, Dialer, Downloader, Hijacker, Trackware.
Interessanterweise befand sich die IP-Adresse des für die Zieldomäne zuständigen Mailservers eben auf dieser Blocklist. Die Firebox verweigert dann sämtlichen Traffic VON und auch ZU diesen IP-Adressen. Nachforschungen haben ergeben, dass diese Liste statisch ist und von WatchGuard selbst gepflegt wird. USA Support hat empfohlen, ein Update auf Version 10.2.11 vorzunehmen, da die betreffende IP-Adresse auf der in 10.2.11 eingebauten Liste nicht mehr draufsteht. Als Alternative kann aber auch die freizugebende Ziel-IP-Adresse bei den Blocked Sites Exceptions eingetragen werden, die zeitlich gesehen offenbar VOR der Antispyware Blocklist abgearbeitet wird.
Mit statischen Tabellen zu arbeiten, die fest in der Firmware "verdrahtet" sind, sind aber alles andere als glücklich.
Mit diesem Wissen würde ich eher auf solche "Features" verzichten.
Ich suche schon geraume Zeit eine Möglichkeit um die anzahl der Anfragen von einer IP zu begrenzen.
habt Ihr eine Ide??
Gruss Peter