Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1720 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Adding DMZ to Sophos UTM 9

drbeach
Hi - my first post here, after searching the fora and FAQ. My UTM has three interfaces:

0.2 - connects to my router
1.1 - connects to my internal network
99.1 - connects to a single web server at 99.2

The last interface is the most recently added. Everything on the internal network works as expected.

From 99.2 I can successfully ping 99.1, but I cannot successfully ping my router at 0.1. My router's logging capabilities are limited, so it's not clear to me whether the packets are successfully exiting the UTM at 0.2.

The manual appears to tell me that I do not need to specify any routes for interfaces directly attached to the UTM, but is there something else I need to be doing to ensure that outbound traffic from 99.2 (and inbound traffic from the Internet destined for the web server) can successfully transit the UTM?

Thanks in advance for any helpful hints or pointers.


This thread was automatically locked due to age.
  • 0
    You need to add firewall rules; the Sophos UTM (Like most other firewalls) is a default drop firewall, all traffic not defined as allowed is dropped by default.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to BrucekConvergent
    Ok, will investigate - but why, then, does the UTM pass traffic from my internal network to the Internet without me having had to add any firewall rules?
  • 0
    Okay, added firewall rules as follow:

    1) web server to Internet IPv4, any service, allow
    2) Internet IPv4 to web server, any service, allow

    Still no joy. So, added rules explicitely to/from router/webserver, any service. Still nothing.

    Yes, I enabled the rules. Any ideas? I'm the new guy, but it smells like a routing thing and not a blocking/dropping thing.
  • 0
    Hi

    Did you add NAT for the 99.1 network?
  • 0 in reply to jarle
    Yes, finally, and that worked. I can now ping the router. For my next trick, figuring out how to route inbound HTTP traffic through the UTM to the web server. I presume I'll need to DNAT the packets coming in on the WAN interface to the web server address.
  • 0
    Hi, yes you need a DNAT and a firewall rule.

    If your router is also doing NAT, that will make it harder. Consider Removing or Bridging the router if possible.

    Barry
Cookie Information Banner