立即阻塞主机的通信量

Question

我已经设置了一个脚本(由Fail2Ban触发)来阻止网络边缘的主机。它将IP地址添加到已经被ACL阻止的组中，然后清除连接。

configure terminal
object network 1.2.3.4
host 1.2.3.4
description Fail2ban
exit
object-group network bad_nets
network-object object 1.2.3.4
end
clear conn address 1.2.3.4 netmask 255.255.255.255
! 5 second delay
clear conn address 1.2.3.4 netmask 255.255.255.255

几个月后，为了避免主人太多，我们会把它们清理干净，这对我们来说是很好的。我最近有一个主机，我无法立即阻止。我登录到ASA并尝试自己运行clear conn命令。每次我运行它，我都会得到回应：

1 connection(s) deleted.

我运行了一个packet-tracer命令，它返回了以下内容：

Phase: 1
Type: FLOW-LOOKUP
Subtype: 
Result: ALLOW
Config:
Additional Information:
Found flow with id 2195365741, using existing flow

那么，我的问题是:如何立即和无条件地阻止通过防火墙建立连接的主机？是否有办法删除与主机相关的任何“流”？

思科自适应安全应用软件9.4(3)4

Answer 1

我的建议是编辑那个脚本来“避开”那个IP地址，这样你就不用担心了，因为它会被阻止。此外，如果流量是UDP，“清除本地主机”命令将无法工作，因为UDP没有建立连接。

shun命令的引用链接：https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s15.html