Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 6209 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Block subnet before hitting WAF

ehofstede
Hi,

Does anybody know how/if I can block an IP/Subnet before traffic, originating from that IP/Subnet, arrives at the WAF/Reverse Proxy server?

I created a block rule for one IP address, saying;
From IP - Service ANY - Destination ANY - Action DROP
And I put it on top of the rule set.

And still, when accessing the website that's behind the WAF/Reverse proxy, they get to see the webpage. And it's not browser cache or someting, I actually see the lines appear in the live log of WAF.

When I block the entire country where that IP originates from, yes, than traffic is blocked. But that's not what I want, I want to be able to block traffic from one IP or one Subnet.

Thanks!
Regards,
Erwin.


This thread was automatically locked due to age.
Parents
  • 0
    Hi Erwin,

    you could create a dnat rule that drops this traffic. 
    Alternativ , you can use the new Access control feature in site pass routing.

    regards
    mod
  • 0 in reply to mod2402
    Hi Erwin,

    you could create a dnat rule that drops this traffic. 
    Alternativ , you can use the new Access control feature in site pass routing.

    regards
    mod


    Hi Mod,

    Thanks for your reply. Can you explain the dnat rule a bit more?
    Will a dnat get hit before the webserver protection rule/profile is? 
    And what should I do, Nat traffic to a non-existing IP address?

    I tried that Access Control feature. The problem there is that the allow part is been checked on before the deny part. And allow says "any" so deny is ignored. 
    As you understand without a doubt, it's undoable to add all IPv4 subnets, except one, to the allow list...

    Thanks!
Reply
  • 0 in reply to mod2402
    Hi Erwin,

    you could create a dnat rule that drops this traffic. 
    Alternativ , you can use the new Access control feature in site pass routing.

    regards
    mod


    Hi Mod,

    Thanks for your reply. Can you explain the dnat rule a bit more?
    Will a dnat get hit before the webserver protection rule/profile is? 
    And what should I do, Nat traffic to a non-existing IP address?

    I tried that Access Control feature. The problem there is that the allow part is been checked on before the deny part. And allow says "any" so deny is ignored. 
    As you understand without a doubt, it's undoable to add all IPv4 subnets, except one, to the allow list...

    Thanks!
Children
No Data