Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1670 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't block IP addresses from accessing web server

geetee
Astaro 5.206

I want to block access to my web from some ip address ranges.  I have a webserver with a private IP behind the firewall which has the public IP.  I have a dnat/snat rule for the webserver. 

I have defined the networks to be blocked and put all of the networks in a group. My first rule is to block any service to any destination from any IP in the group of networks and log activity.

Problem:

Some users are still getting through from the blocked IP addresses.  Is there something I'm missing?

Thx


This thread was automatically locked due to age.
Parents
  • 0
    No, I think this should work.
    Please check the rules Astaro set in the backend, because of the packetfilter rule you made in the frontend. This can be done in Webadmin -> Packet Filter -> Advanced -> Current System Packet Filter Rules. (Search in the Chain "USR_FORWARD"). Make sure there are rules for all the networks you defined in the network group. Is there one missing?
    You said log activity is enabled. So please check the packetfilter log for the ip address you blocked and especially for the ip addresses which are going through. Maybe there is a hint.

    cheers
    Xeno
  • 0 in reply to Xeno
    Thank you.
    All of the block rules are there under advanced. Will they get acted on even though they web server is dnat/snat'd.  I found some forbidden ip's in the logs, but the time was very close to when I made the changes.  I'll watch it for 24 hours.  

    Another question:   Is there a way to use a list of IP addresses in a text file for this.  It is really easy in openbsd to have pf refer to a text files of ip or network definitions, one per line.  

    This site:

    http://ip.ludost.net/      

    has a really nice tool for creating lists by geographic area.
  • 0 in reply to geetee
    Should also work, if making DNAT. To be sure, just post the interesting lines.

    Unfortunately it's not possible to use a text file which holds ip addresses.
Reply Children
No Data