Firewall wird durchbrochen?

    Vor zwei Tagen sperrte ich 188.40.0.0/16 in der Firewall.

    Quote from OpenVCP-Firewall

    order Richtung Protokoll Quell IP Quell Port Ziel IP Ziel Port Vorgabe Übereinstimmung Wert delete
    1 INPUT tcp 46.4.0.0/16 alle :cool: alle DROP
    2 INPUT tcp 78.46.0.0/15 alle :cool: alle DROP
    3 INPUT tcp 188.40.0.0/16 alle :cool: alle DROP


    Trotzdem kam heute dieser sehr anhängliche Referrerspambot von * durch!

    Code
    188.40.112.59 - - [03/Mar/2011:07:27:02 +0100] "GET / HTTP/1.0" 403 202 "http://www.trimain.de/Ausgewaehlte200.htm" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
188.40.112.59 - - [03/Mar/2011:07:27:02 +0100] "GET / HTTP/1.0" 403 202 "http://www.trimain.de/Ausgewaehlte200.htm" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
188.40.112.59 - - [03/Mar/2011:07:27:02 +0100] "GET / HTTP/1.0" 403 202 "http://www.trimain.de/Ausgewaehlte200.htm" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
188.40.112.59 - - [03/Mar/2011:07:27:03 +0100] "GET / HTTP/1.0" 403 202 "http://www.trimain.de/Ausgewaehlte200.htm" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
188.40.112.59 - - [03/Mar/2011:07:27:03 +0100] "GET / HTTP/1.0" 403 202 "http://www.trimain.de/Ausgewaehlte200.htm" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
188.40.112.59 - - [03/Mar/2011:07:27:03 +0100] "GET / HTTP/1.0" 403 202 "http://www.trimain.de/Ausgewaehlte200.htm" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"


    Hat die OpenVCP-Firewall Aussetzer?

    Ich schätze die wirst du nicht in der FW sperren können da ein Request aus dem Netz 188.40.0.0 direct auf deinen Vserver geht und nicht über die FW. Den diese ist soweit ich denke zwischen der DMZ und Internet.

    Bezweifle aber das die Firewall hier greift:


    traceroute to 188.40.112.59 (188.40.112.59), 30 hops max, 40 byte packets
    1 static.65.78.40.188.clients.your-server.de (188.40.78.65) 0.738 ms 0.728 ms 0.791 ms
    2 hos-tr4.ex3k10.rz10.hetzner.de (213.239.227.235) 0.701 ms 0.726 ms 0.784 ms
    3 static.59.112.40.188.clients.your-server.de (188.40.112.59) 0.213 ms 0.220 ms 0.219 ms

    Die fehlt bei deinen Regeln etwas, darum funktioniert es vermutlich nicht: STATE - NEW,ESTABLISHED,RELATED ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)