Sophos Firewall Black Hole DNAT: bloquear IPs
En cuanto hay servicios accesibles desde Internet, normalmente aparece tráfico no deseado muy rápido: escaneos de puertos, intentos de inicio de sesión, botnets conocidos o accesos desde países desde los que no se esperan usuarios. En Sophos Firewall, estos orígenes se pueden bloquear en varios niveles.
Este artículo explica dos variantes típicas:
- bloquear países o redes de origen con una Firewall Rule
- traducir orígenes no deseados hacia ninguna parte con una Black Hole DNAT Rule
Además recomendamos Sophos Firewall Threat Feeds para que IPs, dominios o URLs maliciosos conocidos puedan bloquearse automáticamente.
¿Qué método encaja en cada caso?
| Método | Adecuado para | Uso típico |
|---|---|---|
Firewall Rule con Drop | Bloquear tráfico según Source Country, Source Network o Source Host | Bloquear países, bloquear redes concretas, mantener manualmente listas de Bad IP conocidas |
| Black Hole DNAT | Redirigir tráfico no deseado a una IP interna inexistente | Interceptar pronto tráfico hacia servicios publicados |
| WAF Blocked countries | Servidores web publicados mediante WAF | Bloquear países directamente en una regla WAF |
| Threat Feeds | Listas dinámicas de orígenes maliciosos conocidos | Bloquear automáticamente botnets, escáneres, infraestructura malware e IPs de atacantes conocidos |
El método adecuado depende de dónde se procese técnicamente el tráfico. Sophos indica que las Firewall Rules no siempre se aplican al tráfico dirigido a una Hosted Address usada en WAF. En esos casos, una regla de países en WAF o una Black Hole DNAT Rule suele ser más adecuada.
Bloquear países con una Firewall Rule
Para un Country Blocking general se puede crear una Firewall Rule con Drop.
Ruta de menú:
Rules and policies > Firewall rules
Campos recomendados:
| Campo | Valor |
|---|---|
| Rule name | nombre descriptivo, por ejemplo BLOCK_COUNTRY_PANAMA |
| Rule position | Top |
| Action | Drop |
| Source zones | Any |
| Source networks and devices | país, grupo de países, lista de IP o grupo de hosts |
| During scheduled time | All the time |
| Destination zones | Any |
| Destination networks | Any |
| Services | Any o un servicio definido |
Para Country Blocking es importante no definir Source zones y Destination zones de forma demasiado estrecha. Si solo se introduce WAN como Source zone, la regla puede no aplicarse a todas las rutas de tráfico relevantes.
Black Hole DNAT para orígenes no deseados
Una Black Hole DNAT Rule traduce el tráfico hacia un destino que no existe en la red. El tráfico queda sin salida y no llega al servicio real.
Esto es especialmente útil cuando un servicio se publica mediante DNAT y se quieren interceptar ciertos orígenes antes del port forwarding real.
Ejemplo:
| Campo | Valor |
|---|---|
| Rule name | BLOCK_BAD_IPS_COUNTRIES |
| Rule position | Top |
| Original source | lista de Bad IPs, país o grupo de países |
| Original destination | IP WAN pública u objeto host WAN |
| Original service | Any o el servicio publicado |
| Translated source (SNAT) | Original |
| Translated destination (DNAT) | host ficticio que no existe |
| Translated service (PAT) | Original |
| Inbound interface | Any |
| Outbound interface | Any |
El host ficticio debe usar una dirección IP que no exista en la red propia y que no se enrute. Es importante que esta regla esté por encima de las reglas DNAT reales. Las reglas NAT se procesan de arriba abajo. Si primero coincide la regla DNAT normal, la Black Hole DNAT Rule llega demasiado tarde.
Por qué el orden es decisivo
En las reglas NAT gana la primera regla coincidente. Por eso una Black Hole DNAT Rule debe estar muy arriba, normalmente al principio de la tabla NAT.
Orden de ejemplo:
- Black Hole DNAT para lista de Bad IPs y países bloqueados
- reglas DNAT específicas para servicios publicados
- reglas SNAT especiales
- regla MASQ general para tráfico saliente
El mismo principio se aplica a las Firewall Rules: las reglas de bloqueo específicas deben estar por encima de las reglas allow generales. De lo contrario, el tráfico puede quedar permitido antes de que se evalúe la regla Drop.
No dejar Source en Any sin necesidad
En servicios publicados, la Source debe limitarse tanto como sea posible.
Orígenes útiles pueden ser:
- direcciones IP públicas individuales
- redes de partners o sedes
- países desde los que se espera acceso
- FQDN Hosts o DNS Host Groups, cuando proceda
- Host Groups mantenidos con IPs de administración permitidas
Any solo tiene sentido si el servicio realmente debe ser accesible en todo el mundo. En ese caso deben activarse medidas de protección adicionales: logging, IPS, MFA cuando sea posible, autenticación fuerte, sistemas destino actualizados y Threat Feeds.
Usar Threat Feeds adicionalmente
Las listas manuales y las reglas por país son estáticas. La infraestructura de los atacantes cambia continuamente. Por eso recomendamos además Sophos Firewall Threat Feeds.
Los Threat Feeds ayudan especialmente frente a:
- direcciones IP de escáneres conocidas
- botnets
- infraestructura malware
- hosts comprometidos
- listas de Bad IPs mantenidas dinámicamente
Así no hay que mantener manualmente cada IP. El firewall puede bloquear fuentes conocidas como malas antes de que alcancen el servicio publicado.
Errores típicos
| Error | Impacto |
|---|---|
| Black Hole DNAT está por debajo de la regla DNAT normal | La regla DNAT normal coincide primero y la regla de bloqueo no se aplica |
| El destino ficticio sí existe en la red | El tráfico llega inesperadamente a un sistema real |
| Source se mantiene de forma diferente en la regla NAT y la Firewall Rule | Las reglas se vuelven difíciles de entender y divergen |
| Country Blocking se usa como única protección | Bots de países permitidos pueden seguir atacando |
| El logging está desactivado | En Log Viewer no queda claro qué regla coincidió |
Troubleshooting
Si una regla de bloqueo no se aplica, conviene revisar en este orden:
- ¿La regla NAT o Firewall Rule está realmente por encima de las reglas allow?
- ¿La IP de origen coincide con la lista de Bad IPs o con el país elegido?
- ¿El tráfico lo procesa una regla WAF, una regla DNAT o una Firewall Rule?
- ¿El logging está activado en la Firewall Rule afectada?
- ¿Log Viewer muestra el Firewall Rule ID o NAT Rule ID esperado?
- ¿Se ve el tráfico en Diagnostics > Packet capture?
Para el análisis también ayudan Firewall Rule no coincide: comprobar orden, matching y logs, Usar Packet Capture en WebAdmin y Entender NAT en Sophos Firewall: SNAT, DNAT, MASQ, PAT.