Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4628 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Automatic firewall rule issue

tom11011
Hi Group,

It seems we are being DOS'd so I could use some quick help.

I have managed to isolate the offending IP, assuming it is not spoofed.

I created a blackhole rule in the firewall for this IP, but it was not working.  I then further read if I am using NAT with auto firewall rules, this is a problem because NAT firewall rules are placed at a higher priority and will allow it.

So, I disabled the autofirewall rule and created my own firewall rule, however it is blocking all web traffic.

The firewall rules look like this.

The first rule is the drop of the offending ip address.
source ip --> any -->  external ip address (additional interface)

The second rule looks like this
any --> websurfing --> external ip address (additional interface)

Don't know what the issue is, do I somehow have to allow return traffic?


This thread was automatically locked due to age.
  • 0
    Hi, both rules should have the INTERNAL server IP address as the destination.

    Barry
  • 0
    No Kidding!  I'll give that a try.
  • 0
    Thanks again, working out well.

    However, all I did was change the first rule, the blackhole, to the internal IP addresses, I never did anything with the second rule, just left it on the external addresses.

    It seem strange though to me that the rule should be applied to the internal address.  What interface is the actual blocking occuring on?
  • 0
    Interesting.  I never thought of trying that.

    Keep in mind what I call Rule #2:

    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    So, an alternative to manual Firewall rules is a DNAT that NATs undesired traffic to a non-existant IP.

    Cheers - Bob
  • 0
    Bob, I think I like that method and will give it a shot, makes for a visually cleaner config.  This way I could have one rule that blocks everything I want (blackhole list) depending on where it is placed in the order without having to recreate everything in the firewall.
  • 0 in reply to tom11011
    Thanks again, working out well.

    However, all I did was change the first rule, the blackhole, to the internal IP addresses, I never did anything with the second rule, just left it on the external addresses.


    Hi, then you must have another rule somewhere allowing traffic to your webserver. The 2nd rule is wrong and won't do anything useful (disable it and see for yourself) unless you have a really weird NAT somewhere.



    It seem strange though to me that the rule should be applied to the internal address.  What interface is the actual blocking occuring on?


    Blocking occurs on incoming interfaces (EXT for Internet traffic; INT for outbound LAN traffic, ...)

    Firewall rules need to specify the actual, final destination, AFTER NAT.

    Barry