Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 38676 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocked country, how to allow incoming from specific address?

TheNorthern_Light
Hello,

I was getting regular port sniffing attempts from certain USA ip locations (colocrossing for example). So I changed my firewall rules to block all incoming from USA in the countries setting.

I have run into one problem that I cannot figure out (and I'm still trying to wrap my brain around the UTM as a whole, so please bare with me).

I use a service call (free) that gathers live data from my aquarium controller. One of the main features (that I use), is that it "polls" my controller once every 15 minutes, and sends me a text/email if it loses connectivity.  This has saved my butt quite a few times now.

It's a simple php script that queries my controller (think ping, but with http).
The odd part is that if I load the URL that it tests against in a browser (from outside my home network) it loads perfectly fine (it asks for credentials as expected).  However, the website that tests this link fails.

This ONLY happens after I enable country blocking.

I have an aquarium controller that sits on port 80 (192.168.0.100). I've got a DynDNS address (it's actually no-ip.com address) that points to this controller.

I've created the following definitions:

(actual IPs are private and up to the owner of ***X.net to give out).

n1.***x.net  - Host > 74.x.x.1   

n2.***x.net - Host > 74.x.x.2

***xx.net - Network Group > n1.***xx.com & n2.***xx.com

for public example, lets say its called :

firewall.somefqdn.com

I've tried the following:

Country Blocking Exception:

Skip blocking from > USA
for traffic coming from these sources > ***xx.com
using these services > http

I've then tried doing a DNAT :

Traffic from >> ***xx.net
Using Service >> http
Going to >> firewall.somefqdn.com

Change destination to >> 192.168.0.100
Automatic firewall rule enabled

no go...


I've also tried an SNAT (only because I don't really understand how the UTM does it's address translation) :

Traffic from >> ***xx.net
Using Service >> http
Going to >> firewall.somefqdn.com

Change source to >> External (WAN)

Automatic firewall rule enabled

no go.

I'm kinda stumped.


This thread was automatically locked due to age.
Parents
  • 0
    DNAT:
    Traffic from: ANY
    Using Service: HTTP
    Going to: External (WAN)
    Change Destination: Aquarium Controller
    Change Service to: HTTP
    Automatic firewall rules

    This should still be necessary if ***X is initiating connections to your controller.

    So with that last granular exception, using TO set to your controller, are we good?  Does this lock it down enough (not ANY) and things are working?
  • 0 in reply to Scott_Klassen
    DNAT:
    Traffic from: ANY
    Using Service: HTTP
    Going to: External (WAN)
    Change Destination: Aquarium Controller
    Change Service to: HTTP
    Automatic firewall rules

    This should still be necessary if ***X is initiating connections to your controller.

    So with that last granular exception, using TO set to your controller, are we good?  Does this lock it down enough (not ANY) and things are working?


    Yup, this seems to be good. Now I can stop getting 100+ emails of port scan attempts from the US.


    Seriously, If you were in Canada Scott, I'd buy you a beer!

    Your help was tremendous.
Reply
  • 0 in reply to Scott_Klassen
    DNAT:
    Traffic from: ANY
    Using Service: HTTP
    Going to: External (WAN)
    Change Destination: Aquarium Controller
    Change Service to: HTTP
    Automatic firewall rules

    This should still be necessary if ***X is initiating connections to your controller.

    So with that last granular exception, using TO set to your controller, are we good?  Does this lock it down enough (not ANY) and things are working?


    Yup, this seems to be good. Now I can stop getting 100+ emails of port scan attempts from the US.


    Seriously, If you were in Canada Scott, I'd buy you a beer!

    Your help was tremendous.
Children
No Data