Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 4534 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall on bridged interfaces?

martinh_dk
This might not be possible on Sophos UTM, but here goes...

I've got Sophos UTM Home License is running as VM under Hyper-V.
Virtual interfaces are VLAN'ed in Hyper-V.

I would like to keep all LAN clients on a single /24 subnet - but still transparently separate certain clients from others with firewall rules.
(Since a lot of media devices don't take well to routed subnets)

I thought that I could bridge two interfaces and still use firewall rules between the original interfaces.
(I've done this in the past with m0n0wall).
But as far as I can see, only the bridge (and not the original interfaces) can be used as firewall source/destination afterwards?

Am I missing something? 


Best regards
Martin


This thread was automatically locked due to age.
  • 0
    Hi, 

    I'm not sure if rules can be set across bridges, but FYI bridging can interfere with media devices which use broadcast protocols.
    If all the media devices are on the same side of the bridge, they'll be fine, but may not work across the bridge.

    Barry
  • 0
    Hi Barry,

    A late thank you for the answer [:)]

    Transparent filtering would have been a great bonus for me, for limited guest access.
    But I guess that I will have to find a workaround for that.

    (Just seems silly to have to set up a secondary firewall simply for that purpose).

    But thanks anyway.

    Best regards
    Martin
  • 0
    As far as I know, you can specify any host/network definition in a firewall rule as the rules aren't tied to interfaces. And Interface definitions are just another object (Except the Internet object).

    That means you should be able to specify that traffic going across the bridge (including broadcast as there are seperate objects for that) is permitted between the same subnets. Otherwise we couldn't use the UTM as a transparent filter inline behind other routers, and I have seen that setup on here before.
  • 0
    Hi Andrew,

    While I agree with your logic, I have a hard time seeing how to apply the rules.
    Clients on the interfaces that are part of the bridge would be in the same LAN subnet - and with DHCP I would have no sure way of defining "safe" clients.

    But if I understand you correctly I might be able to define source as entire LAN network and destination as my specific servers (also on LAN subnet) - and filtering would then only apply to any traffic passing the bridge?

    BTW: From what I have read, only web filtering would work when used as transparent filter?
    But will definitely give your suggestion a try! [:)]

    Best regards
    Martin
  • 0

    But as far as I can see, only the bridge (and not the original interfaces) can be used as firewall source/destination afterwards?

    Am I missing something? 


    Best regards
    Martin


    That is correct! UTM cannot have the physical interface in a rule in the firewall. It always uses the logical interfaces objects (like Internal (Network) and not eth1).
    That way you can use your bridged interface or create new network objects that correspond to the both sides of your bridge (ie. use /25 and not /24) to divide your /24 in two /25 subnets.

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?