This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking all traffic from IP address

Hi All,

I'm running UTM 9.312-8.  Does anyone know of an easy way to drop or block all traffic from an external IP address?  I have added a firewall rule to drop all traffic from a number of IPs but the problem is that the auto firewall rules are processed before the manual rules, so this doesn't take effect for a number of DNATs.  I was thinking I could create a DNAT with an auto rule for all traffic from those IPS, for any service, put this in top position, and then direct to a dummy address?  If so can someone please suggest what I could/should be using for the Action?  Or any other ideas you may have to easily accomplish this would be great.  

Many thanks for your help!


This thread was automatically locked due to age.
  • I think I've seen this suggested in the forums before. Just create a black hole network definition with a dummy address and DNAT all services (any) coming from iPs you want to block. Pretty much what you mentioned.
  • Hi, and welcome to the User BB!

    Like Dmitri said. [;)]  Be sure to put the blackhole DNAT ahead of the DNAT that's now accepting the traffic.  To get a better idea of what's happening, check out #2 in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thanks guys, much appreciated!

    I already have the Rulz link bookmarked and refer to it often - very helpful!

    Cheers!
  • On further testing, this is isn't really an efficient method, especially where you have multiple WAN ports.  Each DNAT entry will only allow a single item for both the "Traffic From" and "Going To" fields (won't allow "Any" for the Going To as I get the error "Cannot create a NAT rule mapping all services into one").  As I have 4 public IPs each on a separate WAN interface, and already 6 public IPs I want to block, this is already 24 separate rules to create.  In addition a separate block entry is required for each address in Email Protection, as this is processed first and not via a DNAT.

    Surely there is a more efficient way to achieve this?  Or am I missing something?  I work with many other brands of firewalls and UTMs and most have a much simpler way of doing this.

    Cheers,

    Michael
  • Welcome to the world of WebAdmin, Michael, where it's possible to do this with a single rule [:)] like:

    DNAT : {group of bad IPs} -> Any -> {group of WAN (Address) objects} : to {non-existent IP}


    Also see #4 & #5 in Rulz.

    Cheers - Bob
    PS You're right though about the 24 rules.  Since all IPs are distinct, the config daemon will create 24 iptables commands from the underlying database that you maintain with WebAdmin.  Also, refer to #2 in Rulz to see that DNATs come before proxies.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Thank you for the feedback and advice Bob.  Adding all blocked IPs to a Network Group, and all external interfaces to another Network Group, and then using these groups in the DNAT rule was indeed the key!  Works like a charm!

    Many thanks,

    Michael