Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 38676 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocked country, how to allow incoming from specific address?

TheNorthern_Light
Hello,

I was getting regular port sniffing attempts from certain USA ip locations (colocrossing for example). So I changed my firewall rules to block all incoming from USA in the countries setting.

I have run into one problem that I cannot figure out (and I'm still trying to wrap my brain around the UTM as a whole, so please bare with me).

I use a service call (free) that gathers live data from my aquarium controller. One of the main features (that I use), is that it "polls" my controller once every 15 minutes, and sends me a text/email if it loses connectivity.  This has saved my butt quite a few times now.

It's a simple php script that queries my controller (think ping, but with http).
The odd part is that if I load the URL that it tests against in a browser (from outside my home network) it loads perfectly fine (it asks for credentials as expected).  However, the website that tests this link fails.

This ONLY happens after I enable country blocking.

I have an aquarium controller that sits on port 80 (192.168.0.100). I've got a DynDNS address (it's actually no-ip.com address) that points to this controller.

I've created the following definitions:

(actual IPs are private and up to the owner of ***X.net to give out).

n1.***x.net  - Host > 74.x.x.1   

n2.***x.net - Host > 74.x.x.2

***xx.net - Network Group > n1.***xx.com & n2.***xx.com

for public example, lets say its called :

firewall.somefqdn.com

I've tried the following:

Country Blocking Exception:

Skip blocking from > USA
for traffic coming from these sources > ***xx.com
using these services > http

I've then tried doing a DNAT :

Traffic from >> ***xx.net
Using Service >> http
Going to >> firewall.somefqdn.com

Change destination to >> 192.168.0.100
Automatic firewall rule enabled

no go...


I've also tried an SNAT (only because I don't really understand how the UTM does it's address translation) :

Traffic from >> ***xx.net
Using Service >> http
Going to >> firewall.somefqdn.com

Change source to >> External (WAN)

Automatic firewall rule enabled

no go.

I'm kinda stumped.


This thread was automatically locked due to age.
Parents
  • 0
    Would have been quicker, but you seemed to wanted to remain obfuscated, so I didn't ask for the usual information (large chunks of copy/pasted log data and screenshots of your setup).  Made for more guess work.  [:)]

    I'd buy you a beer
    I'd rather poutine and a coke.  It's the thought that counts.  lol

    Keep blocking us Yanks....except the NSA...they're everywhere.  mwahahaha

    If anything else comes up, just start a new thread and we'll be here to help.
  • 0 in reply to Scott_Klassen
    Would have been quicker, but you seemed to wanted to remain obfuscated, so I didn't ask for the usual information (large chunks of copy/pasted log data and screenshots of your setup).  Made for more guess work.  [:)]

    I'd rather poutine and a coke.  It's the thought that counts.  lol

    Keep blocking us Yanks....except the NSA...they're everywhere.  mwahahaha

    If anything else comes up, just start a new thread and we'll be here to help.


    yeah, since I don't own the IPs, I didn't want to possibly risk his network.

    Was just trying to be cautious. Turns out It was pointless once I typed the two n1 / n2 addresses. LOL.

    Poutine and a row of coke it is! [:D]
Reply
  • 0 in reply to Scott_Klassen
    Would have been quicker, but you seemed to wanted to remain obfuscated, so I didn't ask for the usual information (large chunks of copy/pasted log data and screenshots of your setup).  Made for more guess work.  [:)]

    I'd rather poutine and a coke.  It's the thought that counts.  lol

    Keep blocking us Yanks....except the NSA...they're everywhere.  mwahahaha

    If anything else comes up, just start a new thread and we'll be here to help.


    yeah, since I don't own the IPs, I didn't want to possibly risk his network.

    Was just trying to be cautious. Turns out It was pointless once I typed the two n1 / n2 addresses. LOL.

    Poutine and a row of coke it is! [:D]
Children
No Data