Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 6807 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking an IP

NewImage
Hi
I'm a little confused. The only way I know to get a Server accessible to the public is via NAT rules. NAT rules are enforced before the firewall rules. What is the proper way to block an IP from accessing a NATed server? The country rules and firewall rules don't seam to work on a NATed server. Do I need to make a NAT rule to dump bad IPs into a sink?


This thread was automatically locked due to age.
Parents
  • 0
    OK, found the problem. The automated firewall rules from creating a NAT,(invisible until next update), are placed at a higher priority then the editable firewall rules. So if your 1 rule is "BLOCK ALL", the NAT firewall rules are placed above that and will let traffic pass.

    To me, the Automatically generated NAT firewall rules, that are normally in the case of a DNAT are "ANY IP to your public IP allow", should have the lowest priority so we can overwrite with blacklists and the country block-list can work. Its kind of misleading to me to block china in the firewall section, and they can still access any of my NATed servers if I used automatic firewall rules.

    So, if you want to block IPs from your NAT'ed server, unchecked automatic firewall rules, then make your own where you have control.
Reply
  • 0
    OK, found the problem. The automated firewall rules from creating a NAT,(invisible until next update), are placed at a higher priority then the editable firewall rules. So if your 1 rule is "BLOCK ALL", the NAT firewall rules are placed above that and will let traffic pass.

    To me, the Automatically generated NAT firewall rules, that are normally in the case of a DNAT are "ANY IP to your public IP allow", should have the lowest priority so we can overwrite with blacklists and the country block-list can work. Its kind of misleading to me to block china in the firewall section, and they can still access any of my NATed servers if I used automatic firewall rules.

    So, if you want to block IPs from your NAT'ed server, unchecked automatic firewall rules, then make your own where you have control.
Children
No Data