Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2020 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.101][BUG] Network range objects not working in Web Protection Profiles

mdrobny@unitas-network.de
It is possible to cluster different single hosts and network ranges to a new Network group.
This network group can be used in Web Filtering Profiles->Proxy Profiles to allow/deny internet access for these machines (users).

Unfortunately network group with included network ranges DO NOT WORK.

These IPs will be skipped and will follow the default rule of the profile according to the scheme shown in "Overview".

The WebGUI is does not allow to DND network range objects into the source networks container so this behaviour seems well known. The detour using a group with an embedded range object isn't prohibited but doesn't work.

There seem to be two main solutions.
1) Prohibit groups with embedded range objects. -> Bad for user with fragmented networks. ("Alter the WebGUI.")
2) Compute nested groups down to the last level during insert/save. -> Best user experience, most work. ("Please?")


This thread was automatically locked due to age.
  • 0
    Hi, mdrobny, and welcome to the User BB!

    Yes, this sounds like an incomplete feature (bug).  Network Range definitions are inherently inefficient, so I don't use them anywhere unless absolutely necessary.  They are especially useful though when mapping a range of public IPs to a range of private IPs with the new "1-to-1" NAT type.

    Do Range definitions fail in groups limited to other Range definitions, or only in a Network Group with members of other types of networks?  How about a Range object grouped with a Host object?

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks Bob,

    our customer has a very special net, mixing server, pc and vm infrastructure inside a class a net.
    Ranges may be inefficient, but managing 120 single ips is far more.

    I used a mix of ranges and single hosts.

    I'm gonna try new groups and will give you some new information. (Don't hold your breath, weekend's near.)

    Bye
    Matthias
  • 0 in reply to mdrobny@unitas-network.de
    This is the promised feedback which form of grouped range objects work, if any.

    1) Group with ranges (.1-.127 + .128-.254) => not working
    2) Group with range and single host (.1-.127 + .128) => working for .128, not for the range ips.

    So it seems to be a problem with the (missing) calculation of the ranges, not with the parent group itself.

    Thanks in advance,
    Matthias
  • 0
    Thanks, Matthias.  Please submit a ticket to support so that they learn about this bug.

    Cheers - Bob
  • 0
    I have the same issue. Does anybody have answer?
  • 0
    I have the same issue. Does anybody have answer?