Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 8142 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall rule not working

Jeff x
I created a rule that will block traffic from any IP in the list.
 

 
It's in the #1 position but when I test, it's not blocking traffic.
 
I have one computer with an external Internet connection that I'm using for testing. I included it's public IP in the block list but I can still access my websites that are hosted on a server that's behind Sophos.
 
Each website has a DNAT and a Full NAT (for local access). Each DNAT and Full NAT has an automatic packet filter rule.
 
One of the DNAT's:

 
The corresponding Full NAT:

 
Why is this rule not blocking my testing computer?


This thread was automatically locked due to age.
  • 0
    I'm guessing my block list rule is not working because the automatic packet filter rules that Sophos adds are placed above my rule.
     
    Presumably, I will have to remove all of the automatic packet filter rules and create them manually and place them below my block list rule because there does not appear to be a way to manually add a rule above the automatic packet filter rules. Is this true? If it is, it sure does make configuration more time consuming and my block list rule will also not work for any domain that's using WAF.
     
    Will someone be kind enough to confirm?
     
    Thanks,
     
    Jeff
  • 0
    Jeff, consider what I call Rule #2:

    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    An alternative then is to use a NAT rule like: 'DNAT : {Group of bad IPs} -> Any -> External (WAN) (Address) : to {non-existant IP}'

    Cheers - Bob
  • 0
    Thanks guys. I went ahead and removed all auto packet rules and manually re-created them for the DNAT's and placed them below my block list rule.