Sophos not working in bridged mode

Hi,

1. Which version did you install? 9.1x has some problems with high CPU usage.

2. try disabling the IPS and waiting for the next update for 9.1, or downgrading to 9.0x

3. ACK FIN drops are normally just expired sessions and can be ignored, but did you create Firewall Rules to allow traffic?

Barry

Thank you, Barry.

1. I installed 9.101-12.1.

2. I will try disabling IPS. If that does not fix it, I will try 9.0x. I’m assuming the only way to downgrade is to overwrite the entire HDD with the older version and start all over with the settings?

3. I did create a firewall rule to allow traffic so I can access the Internet. So is it normal for the logs to show all of those entries? If so, the logs will be huge.

This is the only tutorial I found for setting up bridge mode: Configuring Web Filtering & Application Control in bridged mode for a Sophos UTM. I followed the instructions but I can no longer connect to my websites from within the LAN.

My setup includes a small LAN with PC's and a web server. I can no longer access any of the websites from the LAN PC's. The only way I can access the websites is by connecting to an external proxy via a SSH tunnel.

2. I will try disabling IPS. If that does not fix it, I will try 9.0x. I’m assuming the only way to downgrade is to overwrite the entire HDD with the older version and start all over with the settings?

Yes, make a configuration backup & over-write the hard drive.
You can try importing a backup, but they usually only work with the same or newer versions of the firewall software.

3. I did create a firewall rule to allow traffic so I can access the Internet. So is it normal for the logs to show all of those entries? If so, the logs will be huge.

Some entries are normal. 
However, there may be an issue in 9.1x with the web proxy that causes a large number of these entries. 

There's some other threads about these problems (#2 & #3); there may be fixes soon.

I followed the instructions but I can no longer connect to my websites from within the LAN.

My setup includes a small LAN with PC's and a web server. I can no longer access any of the websites from the LAN PC's. The only way I can access the websites is by connecting to an external proxy via a SSH tunnel.

Everything is on one switch, inside the firewall? 
Do you have internal DNS for the web servers set up?

Barry

BTW, I'm not a big fan of bridging the firewall (personal preference mostly)... can you remove or bridge the router instead?

Barry

My hardware router log is filling up like crazy with the following entries and the Sophos box is working its rear off dropping legitimate traffic and I don’t know what I’m doing wrong.

Log entries from the hardware router:
…
Jun 15 19:26:11 snort: [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING {TCP} 192.168.0.206:55123 -> 74.200.200.122:80 

The router is running snort??
Probably not much point to run snort on both the router and the firewall.

Barry

Yikes! I just checked the UTM device status:

...
Network Throughput

10888.40 (transmit)

1535.0 (receive)

9223372036854628.35 (drop)
...

Maybe I need to rethink the path I should take. I’m a novice when it comes to networking.

This is for my home network. I’m running both a web server and email server on the same Windows 2008 R2 machine. I have a few PC's and laptops. Some are "wired" and some are wireless.

The UTM device is my old, faithful SnapGear SG565. The server and the PC's are on the same switch that connects to the SnapGear. The SnapGear connects to the ISP device.

The SnapGear has served me well but I wanted to add a Sophos software box in-between the SnapGear and the switch for more protection.

The SnapGear is also my DHCP server and wireless access point. It does have Snort and Endeavor IDS/IPS. I was thinking the SnapGear should remain on the border but maybe I’m wrong. Money is an issue so I was planning on using an old P4 box with 2GB RAM for Sophos Home UTM. If you think it would make a difference, I may be able to purchase a SuperMicro 1u X3440 unit for the Sophos Home UTM.

What do you suggest I do? Should I move the Sophos box to the border? Would that give me at least the same throughput and protection that the SnapGear provides?

Hi,
A p4 CPU should be able to handle a fair amount of bandwidth; what speed is your internet connection?

I don't know if your SnapGear has any current subscriptions; if not, then everything is probably long out-of-date, and it could have some vulnerabilities.

If it were me, I would put the Sophos UTM on the border (without using bridging), and disable all the features (including DHCP) on the SnapGear except for WiFi, and just use it as a WiFi AP (without routing).
For extra security, you could add another NIC to the Sophos UTM and put the WiFi AP in a separate LAN/DMZ, and maybe setup another DMZ for your Web/Email server.

If the SnapGear is up-to-date and you want to keep using it, then please explain what you're hoping to get out of the Sophos UTM... e.g. web filtering, A/V, etc?

Barry

- Internet connection is currently 2MB.
- SnapGear subscriptions are long out-of-date.
- I was adding the Sophos UTM for updated intrusion detection/blocking.

I've seen a real uptick on the number of intrusion attempts. As far as I know, nothing has ever gotten through the SnapGear. That's why I was thinking I should keep it in place but I will replace it with the Sophos UTM and see how it performs since you think it should be at least as secure as the SnapGear.

I really appreciate your help [:)]