Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2138 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS adding WAN interface

defend
Hi!

I have just started to use this UTM firewall and so far im liking it a lot. None the less I enabled the IPS function and had my LAN in the global IPS setting box, this did not generate any hits on the IPS rules so i added my WAN address and now I see some hits. 

So to my question is it ok to have my WAN interface in the global IPS setting box so that it protects my WAN connection as well. 

The reason for me asking is that the texts states (To start the Intrusion Prevention System, please specify your Local networks and a policy to apply to detected attacks.) I searched the forums and the Google but I could not find any information.

When only my LAN was in the box i got not hits at all in the logs during a 48 hour period.  

System 
Firmware version: 9.105-9
Pattern version: 51225
Running on a EXI 5.1 
CPU I7 4 cores
Ram 16 Gig 
two intel NIC's


This thread was automatically locked due to age.
  • 0
    I managed to get it working without adding the WAN interface. I did some reading and concluded that you should not add the WAN interface. Note to self search and RTFM before posting.
  • 0
    Hi, and welcome to the User BB!

    is it ok to have my WAN interface in the global IPS setting box

    No, you just want 'Local networks'.  It's not unusual to have no attacks.

    Cheers - Bob
    PS You posted while I was responding! [;)]
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi, you are more likely to see hits if you have public DNATs to your servers.

    If you have a public webserver inside the firewall, you can (from outside) try:
    http://yourserver/cmd.exe

    Also, running NMAP from outside against your external IP should trigger portscan detection (which is part of the IPS), even with no DNATs.

    Barry
  • 0
    Thanks for the answers I fell very welcome
  • 0 in reply to BarryG
    Hi, you are more likely to see hits if you have public DNATs to your servers.

    If you have a public webserver inside the firewall, you can (from outside) try:
    http://yourserver/cmd.exe

    Also, running NMAP from outside against your external IP should trigger portscan detection (which is part of the IPS), even with no DNATs.

    Barry


    I did try this but i used https://www.grc.com/x/ne.dll?bh0bkyd2 its a page for port scaning and the IPS droped the packets.
Cookie Information Banner