立即阻止主机的流量

网络工程 思科 防火墙
2021-07-28 03:13:55

我已经设置了一个脚本(由 Fail2Ban 触发)来阻止我们网络边缘的主机。它将 IP 地址添加到已被 ACL 阻止的组中,然后清除连接。

configure terminal
object network 1.2.3.4
host 1.2.3.4
description Fail2ban
exit
object-group network bad_nets
network-object object 1.2.3.4
end
clear conn address 1.2.3.4 netmask 255.255.255.255
! 5 second delay
clear conn address 1.2.3.4 netmask 255.255.255.255

我们在几个月后检查并清理它们以避免主机过多,这对我们来说效果很好。我最近有一个主机,但我无法立即阻止。我登录到 ASA 并尝试自己运行clear conn命令。每次我运行它时,我都会得到响应:

1 connection(s) deleted.

我运行了一个packet-tracer返回这个命令:

Phase: 1
Type: FLOW-LOOKUP
Subtype: 
Result: ALLOW
Config:
Additional Information:
Found flow with id 2195365741, using existing flow

所以,我的问题是:如何立即无条件地阻止已通过防火墙建立连接的主机?有没有办法删除与主机关联的任何“流”?

思科自适应安全设备软件版本 9.4(3)4

1个回答

我的建议是编辑该脚本以“避开”该 IP 地址,这样您就不必担心,因为它会被阻止。此外,如果流量是 UDP,则“清除本地主机”命令将不起作用,因为 UDP 未建立连接。

shun 命令的参考链接:https : //www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s15.html

其它你可能感兴趣的问题
上一篇我可以通过 SNMP 获取应用于接口的过滤器吗? 下一篇LDP 不为ISIS Level 2 的默认路由生成标签吗?