Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3045 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos not working in bridged mode

Jeff x
I want to add a layer of security so I installed Sophos UTM Home on a standalone box with two Ethernet ports. I set it up in bridge mode and installed it between my existing router and switch.

My hardware router log is filling up like crazy with the following entries and the Sophos box is working its rear off dropping legitimate traffic and I don’t know what I’m doing wrong.

Log entries from the hardware router:

Jun 15 19:26:11 snort: [119:4:1] (http_inspect) BARE BYTE UNICODE ENCODING {TCP} 192.168.0.206:55123 -> 74.200.200.122:80 


Entries from the Sophos live firewall log:

20:03:27  Default  DROP  TCP  192.168.0.199:80 →192.168.0.1:56912   [ACK FIN]  len=52  ttl=64  tos=0x00  srcmac=0:10:5a:1b:16:8e


I’m getting several of both entries, per second, in each log.  The CPU and memory usage on the Sophos box is maxing out.

I know I don’t have something set correctly because I previously set up Untangle on this box and it worked fine.

Can someone please help me?


This thread was automatically locked due to age.
Parents
  • 0
    Thank you, Barry.

    1. I installed 9.101-12.1.

    2. I will try disabling IPS. If that does not fix it, I will try 9.0x. I’m assuming the only way to downgrade is to overwrite the entire HDD with the older version and start all over with the settings?

    3. I did create a firewall rule to allow traffic so I can access the Internet. So is it normal for the logs to show all of those entries? If so, the logs will be huge.

    This is the only tutorial I found for setting up bridge mode: Configuring Web Filtering & Application Control in bridged mode for a Sophos UTM. I followed the instructions but I can no longer connect to my websites from within the LAN.

    My setup includes a small LAN with PC's and a web server. I can no longer access any of the websites from the LAN PC's. The only way I can access the websites is by connecting to an external proxy via a SSH tunnel.
Reply
  • 0
    Thank you, Barry.

    1. I installed 9.101-12.1.

    2. I will try disabling IPS. If that does not fix it, I will try 9.0x. I’m assuming the only way to downgrade is to overwrite the entire HDD with the older version and start all over with the settings?

    3. I did create a firewall rule to allow traffic so I can access the Internet. So is it normal for the logs to show all of those entries? If so, the logs will be huge.

    This is the only tutorial I found for setting up bridge mode: Configuring Web Filtering & Application Control in bridged mode for a Sophos UTM. I followed the instructions but I can no longer connect to my websites from within the LAN.

    My setup includes a small LAN with PC's and a web server. I can no longer access any of the websites from the LAN PC's. The only way I can access the websites is by connecting to an external proxy via a SSH tunnel.
Children
  • 0 in reply to Jeff x

    2. I will try disabling IPS. If that does not fix it, I will try 9.0x. I’m assuming the only way to downgrade is to overwrite the entire HDD with the older version and start all over with the settings?


    Yes, make a configuration backup & over-write the hard drive.
    You can try importing a backup, but they usually only work with the same or newer versions of the firewall software.


    3. I did create a firewall rule to allow traffic so I can access the Internet. So is it normal for the logs to show all of those entries? If so, the logs will be huge.


    Some entries are normal. 
    However, there may be an issue in 9.1x with the web proxy that causes a large number of these entries. 

    There's some other threads about these problems (#2 & #3); there may be fixes soon.


    I followed the instructions but I can no longer connect to my websites from within the LAN.

    My setup includes a small LAN with PC's and a web server. I can no longer access any of the websites from the LAN PC's. The only way I can access the websites is by connecting to an external proxy via a SSH tunnel.


    Everything is on one switch, inside the firewall? 
    Do you have internal DNS for the web servers set up?

    Barry