Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 6163 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall rules - order of precedence

TrevorFurnell
Hi;

My first firewall rule states
    "GroupAllBlockedHosts" on any service, destination Any -> Drop.
The group, "GroupAllBlockedHosts" contains multiple Network Definitions all along the following lines.
     name->Block 203.45.0.0/16, type->network, interface->any, 
     ip4add->203.45.0.0, netmask->/16 (255.255.0.0)
I would expect that this being the first firewall rule, that any traffic 
coming from one of the listed ip's within the range would be blocked. 
But I keep finding that when I look at my Pop3 Proxy log, hosts within 
this range ie: 203.45.23.188 would be blocked and not trying 20,000 
times a day to access my mail server behind the firewall, like such...

  excerpt from pop3 proxy log
  2011:10:21-10:35:00 tspoon pop3proxy[30703]: Accepted client 
          connection from 203.45.23.188 for 14.201.129.252
  2011:10:21-10:35:01 tspoon pop3proxy[30595]: Connection to 
          remote server failed: PASS for user barbara failed on remote 
          server: -ERR Authentication failed.

The Group "GroupAllBlockedHosts" also gets used in several other locations
Used in these configurations: 
   Mail Security -> SMTP -> Relaying
   Network Security -> NAT -> DNAT/SNAT
   Network Security -> Firewall -> Rules
Used by these objects: 
01)  Network Security -> Firewall -> Rules -> Any from Z-All Blocked Hosts to Any
   Network Security -> Firewall -> Rules
02)  Network Security -> NAT -> DNAT/SNAT -> Any from Z-All Blocked Hosts to Any
   Network Security -> NAT -> DNAT/SNAT

The Dnat rule is the first rule, and states the following
  DNAT [BlackHole]
  Traffic selector: Z-All Blocked Hosts -> Any -> Any
  Destination translation: Blackhole (192.168.11.200 Non-existant network)
  Automatic Firewall rule:
  Initial packets are logged:

A couple of questions.
1. Is there a limit to the amount of definitions that can be included within
   a group, currently I have 63 individual definitions in the 
   "GroupAllBlockedHosts" group

2. With all the block/drop, or redirect to a black hole, why am I seeing 
   entries for ip addresses in my pop3 proxy log.

3. What else do I need to provide so people can better help me work out
    what I've got wrong.  :-) 

Trevor..


This thread was automatically locked due to age.
Parents
  • 0
    Proxy traffic comes before packet filter rules in the order, but the question is why that traffic is in the pop3 proxy log to begin with. So what networks are allowed to use the pop3 proxy?
  • 0 in reply to dilandau
    Hi;

    I've managed to work out that proxy comes before packet.

    The Pop3 -> Allowed Networks = Any, as I have multiple
    people outside the network that need to pick up mail from the
    internal mail server, and as some of them are using mobiles to
    pick up their mail, their ip address changes constantly.

    Is there a better way to do this..?

    Ideally I'd love to see a "Hosts/Networks Blacklist" section like under
    the SMTP -> Relaying tab.

    Trevor..
Reply
  • 0 in reply to dilandau
    Hi;

    I've managed to work out that proxy comes before packet.

    The Pop3 -> Allowed Networks = Any, as I have multiple
    people outside the network that need to pick up mail from the
    internal mail server, and as some of them are using mobiles to
    pick up their mail, their ip address changes constantly.

    Is there a better way to do this..?

    Ideally I'd love to see a "Hosts/Networks Blacklist" section like under
    the SMTP -> Relaying tab.

    Trevor..
Children
No Data