Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1113 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Whitelisting up2date servers

KLee
Hi Everyone,

I've been digging around the forums and searching the sophos site, but havent been able to find information on the IP addresses of the up2date servers used by astaro / sophos UTM.

I have a virtual interface I can dedicate to the up2date functionality and would like to lock it down to communicate only with the up2date servers.

The only mention I see is in the up2date logs, where I see the following IP addresses on a up2date fail:

175.41.132.12:443
184.72.238.199:443
79.125.21.244:443

Would whitelisting these IP addresses and allowing the up2date service on the firewall be sufficient to limit access to the up2date interface to only performing the autoupdates?

Or are there more up2date servers I would need to permit?

Thanks!


This thread was automatically locked due to age.
  • 0
    I have a virtual interface I can dedicate to the up2date functionality and would like to lock it down to communicate only with the up2date servers.

    It sounds like you might run afoul of #3.1 in Rulz.  There's probably an easier way to accomplish what you want - what is the motivation for this?

    Cheers - Bob
  • 0 in reply to BAlfson
    It sounds like you might run afoul of #3.1 in Rulz.  There's probably an easier way to accomplish what you want - what is the motivation for this?

    Cheers - Bob


    Currently, the automatic up2date functionality works. I just wanted to lock down that interface / IP so that it can only communicate with the up2date servers.

    Here's how the UTM is set up:

    eth0 - Internal Management - 192.168.1.200
    eth1 - Interface with external net access - 192.168.12.2 - default GW 192.168.12.1

    UTM is in bridged mode (eth2 and eth3 interfaces form a bridge)

    router to ISP - 192.168.12.1

    The network eth0 is on is meant to be internal only, no communications to the outside internet, used only for management of devices.

    Without creating eth1 on the same subnet as the GW, I could not find a way for the UTM to reach the internet, as I created the bridge as a transparent bridge with no associated IP address.

    The other computers on the same physical switch use router at 192.168.12.1 as the gateway.

    Seeing as the eth1 interface is only used for the up2date functionality, I just wanted to ensure that only the up2date servers could communicate with it.

    Hence my question about if the only servers I need to give permission to communicate back and forth with eth1 (IP 192.168.12.2 ) would be the following:

    175.41.132.12:443
    184.72.238.199:443
    79.125.21.244:443

    Hopefully everything I said makes sense?

    If you think there's a better way to approach this, but still keeping the "management network" entirely off the internet, I'm all ears.

    Thanks!
  • 0
    keeping the "management network" entirely off the internet

    By default, a firewall blocks all traffic that isn't specifically allowed.  What traffic from the "management network" now can reach the Internet?

    Cheers - Bob