Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 26 replies
  • Subscribers 5 subscribers
  • Views 47281 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM 9 Firewall Regel für Dropbox IP

Paul Brennecke

Hallo Leute,

ich habe jetzt schon länger gesucht und keine Lösung für mein Problem gefunden.

In dem Violations Log einer Firewall führen 2 Source IPs die zu Dropbox gehören. Diese versuchen über HTTPS lokale IPs über dynamische Ports zu erreichen.

Ich habe schon Any regeln für Allow und Deny probiert, ohne Erfolg. Mein nächster Gedanke wäre eine NAT Regel, ich wüsste aber nicht ob das dann noch klappt, weil ich dann ja einen anderen Port nehmen würde. Habe auch schon überlegt das ganze an die Sophos umzuleiten.

Hat jemand Erfahrungen mit ähnlichen Fällen?



This thread was automatically locked due to age.
  • 0 in reply to LuCar Toni

    N'abend.

    Ich habe soeben auch probiert die Pakete per Firewall Regel zu droppen, aber es klappt wirklich nicht.

    Grund hierfür ist, dass die Pakete durch die Input Chain durchgelassen, und erst von der Output Chain Regel 60003 gedroppt werden. Das Paket wird also erst zum LAN Interface der UTM geblockt. Die Regeln, die wir über die WebGUI anlegen können, greifen aber schon vorher in der Input Chain. Somit muss es irgendeine höhere Regel geben die die RST Pakete durchlässt. Aus meiner Sicht besteht daher keine Möglichkeit die Pakete aus dem Log zu bekommen.

    Jas

  • 0 in reply to LuCar Toni

    Wenn ich meine Firewalls so durchchecke, habe ich bei vielen externe IPs in den Top Source Hosts mit mehr oder weniger vielen Paketen. Ich gehe mal davon aus das es sich dabei zu 90% auch um toten Traffic handelt. Wäre echt schön zu wissen wie man sowas aus den Logs bekommt.

  • +1 in reply to Paul Brennecke

    Ich habe auch bemerkt das es anscheinend mehr Server werden. Ganz oben steht jetzt der Exchange Active Sync Server der Firma, mit dem sich mein Handy synct.

    Wenn ich den transparenten Proxy deaktiviere, sind die "dropped RSTs" sofort weg. Es hängt also mit dem Proxy zusammen. Nutzt Du den transparenten oder den normalen Proxy?

    Als Workaround könnte man die betroffenen Server als Ausnahme für den transparenten Proxy unter "Web Protection" -> "Filtering Options" -> "Misc" einfügen. Für den normalen Proxy müssten diese Ausnahmen in die Proxy Konfigurationsdatei geschrieben werden. Aber wer will schon die ganzen Server da einpflegen.

  • 0 in reply to Jas Man

    Wenn trotz Proxy auf der Firewall Einträge erscheinen ist irgendwas faul oder über eine Ausnahme (Skiplist oder wpad.dat) eben dies gewünscht, bei Nichtverwendung der wpad.dat bliebe auch noch falsche Config am Client bei dediziertem Proxy.

    Sprichst Du Euren Exchange über Split-DNS mit seiner internen IP an oder versucht das Handy, sich auf die externe IP zu verbinden?

    Gruß / Regards,

    Kevin
    Sophos CE/CA (XG+UTM), Gold Partner

  • 0 in reply to kerobra_retired

    Das Handy geht auf die externe IP Adresse. Die UTM steht bei mir zu Hause.

    Das die Pakete trotz Proxy an der Firewall aufschlagen liegt einfach daran, dass der Proxy die Verbindung nicht (mehr) kennt und somit ist es für die UTM eine unbekannte Verbindung, die durch die Firewall gedroppt wird. Das passt schon so, alles korrekt.

    Nur das ich die Pakete nicht blocken kann weil sie schon die Input-Chain durchlaufen haben ist komisch. Anscheinend werden TCP Pakete mit RST Flag anders behandelt. Oder wir haben irgendeine Funktion aktiviert/deaktiviert, die das Verhalten steuert. Aber ich hab schon alle relevanten Häkchen gesetzt bzw. nicht gesetzt die meiner Meinung was damit zu tun haben könnten. Jedoch ohne Erfolg.

    Gruß

    Jas

  • 0 in reply to Jas Man

    Jas Man said:

    Als Workaround könnte man die betroffenen Server als Ausnahme für den transparenten Proxy unter "Web Protection" -> "Filtering Options" -> "Misc" einfügen. Für den normalen Proxy müssten diese Ausnahmen in die Proxy Konfigurationsdatei geschrieben werden. Aber wer will schon die ganzen Server da einpflegen.

    Nach ewigem getüfftel und der Tatsache das ich diese Antwort erst nur überflogen habe hat mir das geholfen. Die Pakete tauchen in den Logs nicht mehr auf. Jetzt muss ich nur ne Definition für die "Leichen" machen.

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?