Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 9828 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Country Blocking - What do the settings really mean?

MarkThompson
So I've been doing a lot of reading and searching however I cannot make sense out of some of the Country Blocking settings.  Searching this forum area showed six pages of country blocking (searched on country) and nothing referenced what FROM and TO actually do.  Google wasn't helpful either.

I'm running UTM Software version 9.313-3.

Under Country blocking there are four settings, OFF, ALL, FROM, and TO.

I understand OFF and ALL and they work as I would expect...

OFF: Country blocking is not on.
ALL: Country blocking is fully on.

The confusion comes with the other two settings, FROM and TO.

The user manual states:
FROM: Traffic coming from this location is blocked.
TO: Traffic going to this location is blocked.

So I set up a block to Germany (where this forum is located) and selected FROM and I would have expected to have all responses blocked, but they are not.  So now "I think" that FROM means something that wasn't requested by my web browser in this situation.

Could someone please explain exactly what FROM and TO actually do?

Note: I also setup blocks to the Great Britain and even to my neck of the woods, USA, still confused.


This thread was automatically locked due to age.
Parents
  • 0
    Inbound unsolicited traffic is always blocked. - Stateful packet filter. 

    FROM :

    You run a DMZ webserver that the world can get to. You see many attacks coming from country X. Here is where the FROM comes in. You can say block all traffic FROM country X.

    TO and ALL:

    The TO and ALL will affect everyone on the inside of your network. User Amy trys to go to www[.]someblockedcountrysite.com and she is blocked. 

    FROM

    I thought that if you had FROM blocked, that even though you started the conversation, it would be blocked by the country blocking filter. (Allowed out t that IP, but that IP Is not allowed in.) 


    Can anyone else comment?

    This is why knowing how traffic flows through the UTM is important. It helps to know what it will do, when. For example, if you block Germany you cant get to German sites - the exceptions does not work. However, if you put that German URL in the proxy skiplist, it bypasses the country block and follows firewall rules, and allows that URL so long as the firewall rules do not block it. I need to take out that last column and make a new column in the center for this situation. I do not know if the IPS and App Control would still be in play in this situation. I have not tested it yet. 

    C68

    * It may still need some work. [:O]


    **Update**

    I did some testing.

    I think the FROM is only for unsolicited incoming traffic, IE webservers, VPN request, etc.

    I blocked sears in applicaiton blocking. I then created a proxy skiplist for it and tested. Sometimes this override does not take right away, but based on what I am seeing, application control is still in full affect as I still can't get to sears.com (See new updated attachment) 
Reply
  • 0
    Inbound unsolicited traffic is always blocked. - Stateful packet filter. 

    FROM :

    You run a DMZ webserver that the world can get to. You see many attacks coming from country X. Here is where the FROM comes in. You can say block all traffic FROM country X.

    TO and ALL:

    The TO and ALL will affect everyone on the inside of your network. User Amy trys to go to www[.]someblockedcountrysite.com and she is blocked. 

    FROM

    I thought that if you had FROM blocked, that even though you started the conversation, it would be blocked by the country blocking filter. (Allowed out t that IP, but that IP Is not allowed in.) 


    Can anyone else comment?

    This is why knowing how traffic flows through the UTM is important. It helps to know what it will do, when. For example, if you block Germany you cant get to German sites - the exceptions does not work. However, if you put that German URL in the proxy skiplist, it bypasses the country block and follows firewall rules, and allows that URL so long as the firewall rules do not block it. I need to take out that last column and make a new column in the center for this situation. I do not know if the IPS and App Control would still be in play in this situation. I have not tested it yet. 

    C68

    * It may still need some work. [:O]


    **Update**

    I did some testing.

    I think the FROM is only for unsolicited incoming traffic, IE webservers, VPN request, etc.

    I blocked sears in applicaiton blocking. I then created a proxy skiplist for it and tested. Sometimes this override does not take right away, but based on what I am seeing, application control is still in full affect as I still can't get to sears.com (See new updated attachment) 
Children
No Data