Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 6638 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

GeoIP blocking problems understanding

andy.l
Hi
When when I enable GeoIP blocking, if I understand correct if I set "from" on a geographical location I block all traffic initiated from that region. In other words if I set "from" on United Stated I essentially block all traffic from USA, but if I browse the net from my internal LAN (behind my Sophos UTM) the traffic is allowd since the traffic is initiated from the inside TO usa, and not FROM usa. Is my assumption here correct?

/Andy


This thread was automatically locked due to age.
  • 0
    Hi, I believe you are correct, but...

    Previously, all country-blocking was bi-directional.
    9.1x added an exceptions system, but apparently it has significant problems:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/41102

    Barry
  • 0
    Hi
    I played around with the configuration of GeoIP blocking and here is a quick info of what I did and my conclusions.

    Case:
    Allow all outbound traffic to a given country, but block all incoming traffic, say port scanning from that given country. In this example I tested with USA.

    1) First I made sure that port 443 and port 80 was reachable from the outside. I verified this with "ShieldsUp" located at www.grc.com. It reported port 80 and 443 open. Also verified locally from a secondary internet connection and through 3g on my cellphone.
    2) Enabled GeoIP blocking, choosing "all" for USA. Verified that I couldn't get either out or in from USA. (I'm located in a totally different country, and the open ports where reachable from that location).
    3) Changed GeoIP setting to "to" for USA. Unable to reach www.grc.com, but other geographical locations where reachable.
    4) Changed GeoIP setting to "from", and www.grc.com was reachable. This was traffic going TO so this makes sense. I initiated a port scan through Shieldsup, and it didn't find any open ports. Traffic coming FROM usa is blocked, as expected. At the same time I verified that my open ports was reachable from the same geographical location I am located in.

    Conclusion:
    To enable to not interfere with web browsing, mail delivery, etc. limit GeoIP blocking to "From". Since the traffic is initiated from the inside you'll be able to surf to locations restricted by GeoIP blocking. 
    The setting "ALL" blocks both incoming and outbound traffic and "To" limits only outbound traffic. 
    On a side note GeoIP blocking with "To" could be beneficial to block  malicious traffic in case you would like to block software that "calls home".

    I hope this information will be of benefit for other than me.

    /Andy
  • 0 in reply to andy.l
    Thank you for your detailed investigation.
    There is an assumption that you know where "malicious software home" is?

    Ian
  • 0
    You are correct, I do make the assumption that I know where the home for malicious software is. The assumption is often based on the traffic I see on the firewall. If I see traffic going to regions that we normally don't browse to or exchange data we make the assumption that this is traffic that is not legitimate and as a result we block traffic to that region.

    /Andy
  • 0
    those countries IP, don't even know your Ip exist till the moment you put a virused Usb-stick on your PC
  • 0 in reply to andy.l
    Is there a way to get a report of traffic that is blocked by geo blocking, both in and out?
  • 0
    Not sure about a report, but you can GREP the firewall log for GEOIP.

    Barry