Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1788 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot block traffic when DNAT rule is set

jpwjpw
I have DNAT rules set for incoming traffic (from our external IP range to an internal IP).

I'd like to block an IP from accessing one of our external IPs, so I added a firewall rule at the top with the IP to ANY and drop traffic.

Although in the logs it reports the packet is dropped, it isn't!

How do I do this? Is the NAT rule overruling the firewall rule? How do I block then?


As a side note, i've come from Juniper kit and the Astaro reseller support compared to them sucks hard!


This thread was automatically locked due to age.
  • 0
    Yes, the DNAT takes precedence over any manually created firewall rules.  Create a new blackhole DNAT, ordered higher in the list than the existing rule, to send traffic from this one IP to a non-existent IP Address.
  • 0
    Hi, you don't have to use the "auto packetfilter rule" on the DNAT; you could instead have your own allow and drop rules in the PacketFilter.

    However, if you're seeing a drop entry in the logs, then something else may be going on.

    Barry
  • 0
    Although in the logs it reports the packet is dropped, it isn't!

    I'm with Barry - that's just not possible.  If you have questions about the Firewall log, post the relevant line(s) from the full log file, not the Live Log.

    Cheers - Bob
  • 0 in reply to BAlfson
    Ah, I was mistaken. Basically IPS was dropping some packets but not all.
    (RDP dictionary attack of about 10 attempts a sec).

    Out of 10 it was dropping maybe 5 and letting the other 5 through (from the same IP) which isn't very clever is it? [:)]

    I will do the separate packet filter rules instead of the combined DNAT and auto option. That makes a lot more sense to me.


    Thanks guys!