Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1704 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP or MAC, which one takes precedence in rules

Mast_01
When we build a definition using MAC(and IP as UTM doesn't allow mac-only rules), which value takes precedence?.

for example:
i have rule A from X station blocking everything.
then Rule B from Y (ip only) allowing only a certain URL.
then rule C from Z (ip/mac), allowing everything.

what happens when/if station X changes IP to the one that Y has/had and then Z?
theoretically it should keep triggering only the "X" rule as the MAC is unchanged, but that happens in Y case where it has only been defined as an IP host?, will it trigger both rules erroneously?


This thread was automatically locked due to age.
  • 0
    Do you mean the following rules in the following order?
    [LIST=1]X -> Any -> Any : Drop
    • Y -> Any -> {specific FQDN} : Allow
    • Z(MAC=XX:X:XX:XX:XX:XX) -> Any -> Any : Allow
    [/LIST]
    If so, then if X changes to the IP of Y, the second rule applies.

    If X changes to the IP of Z, then none of those rules apply.  If X also spoofs the MAC address of Z, then the third rule applies.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    hmm i wasn't very clear, letme expand:

    i make the following host definitions:
    X host: 192.168.0.10  aa:bb:cc[:D]d:ee:ff MAC
    Y Host: 192.168.0.11
    Z host: 192.168.0.12 aa:bb:cc[:D]d:ee:aa MAC

    rules are like you say
        X -> Any -> Any : Drop
        Y -> Any -> {specific FQDN} : Allow
        Z -> Any -> Any : Allow

    if i sit on the computer X and change it's IP to match Y or Z for example, what happens?.
    It shouldn't make a difference as the mac is the same so the 1st rule should always hit regardless of the IP, unless the mac system is done wrong.

    i mean, if i use a host w/MAC definition is so that i can make mac-based rules regardless of wheter the user changes the ip to bypass rules.
  • 0
     i mean, if i use a host w/MAC definition is so that i can make mac-based rules regardless of wheter the user changes the ip to bypass rules.

    The way to always block a specific PC is with a Firewall rule like

    Internal (Network) -> Any -> Any : MAC=aa:bb:cc[:D]d:ee:ff : Drop


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    yah but i didn't mean specifically to block, i mean, what happens if i change the IP of a host that is defined with a MAC address to the IP of a different host definition(be it with only ip or with ip/host), is UTM smart enough to match the MAC only first?
  • 0
    Notice in my example that I specified the Source as the entire subnet of "Internal (Network)" and then limited the rule to apply only to a specific MAC address.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hmmm so those MAC are those defined in the "mac address definitions" tab...
    how do they interact with normal rules?, looks complicated....
    (i mean, i could easily make a source selection that doesn't match the MAC list and will never work)

    i guess i'm going to have to fire up virtua-kun and test this.
    documentation is not very clear about the usage of the mac address definitions tab either
  • 0
    documentation is not very clear about the usage of the mac address definitions tab either

    I agree with that!  In the Help, follow the links at the bottom of the 'MAC Address Definitions' page to see how these are used.  How they can be used is really very limited.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?