Para situações onde não é possível utilizar SAM Rule (seja limitação da arquitetura, ou limitação de versão), é possível utilizar o objeto "Dynamic Object" (New > More > Network Object > Dynamic Objects > Dynamic Object)




Este objeto, após criado, deve ser inserido na origem ou destino na rulebase, conforme exemplo abaixo:




Após criada a regra, basta instalar políticas. 


À partir de agora, a manutenção do objeto dinâmico é feito via linha de comando, no firewall ativo. É lá que é dada a manutenção do objeto, sem necessidade de fazer instalação de regras novamente. Seguem os parâmetros disponíveis, a seguir, exemplo prático para listar, adicionar e remover endereços.


Atenção: para aplicar o comando no Maestro:
ao invés de usar "dynamic_objects", utilize "g_all dynamic_objects"



O mais importante, é que este objeto dinâmico só pode ser alimentado com range, independente de ser apenas um ip (caso queira bloquear apenas o ip 60.60.60.60, vai informar a range 60.60.60.60 - 60.60.60.60, vide exemplo abaixo:


Listando o comando e seus parâmetros disponíveis. Só tem opção para adicionar via range.



Exemplo acrescentando uma range a ser bloqueada que seja apenas o ip 60.60.60.60:


Para listar os endereços atuais:


Para deletar a range que foi inserida:



Considerações importantes sobre o bloqueio imediato:

Se existirem conexões aceleradas na tabela de conexões do firewall, ela não será derrubada imediatamente. Para que o efeito seja imediato, precisa forçar a exclusão da tabela, com o comando abaixo:


Quando o ip é destino, o parametro é dip. Quanto o ip é origem, o parametro é sip:




Observações sobre o comando fw ctl conntab:

  • Ao dar enter no comando acima, perceba que precisa confirmar com um 'y' ou 'n' para executar ou cancelar.
  • tanto a origem quanto destino também pode ser informado uma range, ao invés de um simples ip. Exemplo para remover da tabela de conexões a range 60.60.60.10 a 60.60.60.20 quando for destino:
    • fw ctl conntab -x -dip-60.60.60.10-60.60.60.20


Resumo:

  • Crie uma regra no topo com um objeto dinâmico (uma regra quando quiser bloquear origens dinamicamente e outra regra quando quiser bloquear destinos dinamicamente).;
  • O uso do objeto não impacta na aceleração nem performance;
  • Podem ser criados mais de um objeto dinâmico também. Após a criação da regra de firewall, é preciso install policy;
  • A edição do objeto é feita diretamente no firewall, e como a regra já existe, não precisa mais aplicar!
  • Para remoção de qualquer resquício de conexão da tabela, utilize em conjunto o comando fw ctl conntab -x -sip/-dip

Referências: