Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4526 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos UTM - Internal Networks

ximian
I am having issues with Sophos UTM 9.2 and what it considers as Internal Networks. 

I have 5 subnets; DMZ, Internal, Mgmt, Domain Network and a Wireless. Each are in a IP range that is Routable (Yeah, Yeah - I know it's not best practice; shouldn't make a difference).

When I activate Country Blocking, Sophos automatically blocks the networks I have defined. 

Why is that? It should at least consider the networks defined on the interfaces as part of it's network?  Evidently this is not occurring. 

I have tried creating an exception for Country blocking by adding the Networks created during the creation of the interfaces, but this is not having the desired effect. I still get blocked.

What did I miss? Is Sophos really not taken into consideration what is defined in it interfaces?

Please help.


This thread was automatically locked due to age.
  • 0
    Hi,

    1. please raise this with support

    2. please show a screenshot of your exceptions; blur or black out part of your networks.

    Barry
  • 0
    Country Blocking only takes into account the listing for an IP in the 3rd party geoip database that it uses.

    It should at least consider the networks defined on the interfaces as part of it's network
      When manually assigning an IP to an interface, it is very possible to fumble-finger an address or accidentally transpose digits, which could lead to leaving an interface open to connections from a country you need to be blocked.  This is why the UTM does not automatically exempt these addresses.
  • 0
    So how do I get around it?
  • 0
    Firewall Log.JPG

    Wireless-Lan - Country Exception.JPG

    Wireless-Lan.jpg
  • 0
    One thing that stands out to me is that in your exception rule, you aren't skipping the blocking of any countries.
  • 0
    Because I am interested in not blocking particular networks. Also according to the documentation:

    Note – To select all IP addresses, including those that are not associated with any country, for example internal IP addresses, deselect all checkboxes using the Deselect all checkbox
  • 0
    Odd, are your network ranges on each interface actual private address space subnets?
    Private network - Wikipedia, the free encyclopedia

    I definitely agree with Scott_Klassen that the Country Blocking exception you have set is definitely odd.

    If you are wanting the various local networks to communicate to each other (beyond HTTP/S) you will definitely need to add your Firewall Rules for the other protocols in question to each other.  Generally, I would play by the rule of only what is necessary.  Especially, if you are thinking your Wireless-Lan to MGMT-Lan.  In my environment I even limit the Production so only specific IP ranges of I.T. staff can use SSH etc. to the Management or other networks.
  • 0
    Actually, if Country blocking is on, Traffic from One Network, lets say Wireless-Lan can connect to the DMZ based on the rules.

    The issue I am having are with particulars, such as connecting from management lan ssh to the utm.

    Spam filtering is not working, mail stays stuck in the queue even though the mailserver and domain defined in the smtp routing.

    As soon as I turned it off, all of those functions work.

    NB:
    [SIZE="2"]Unfortunately the country blocking system is currently based solely on the defined IP address and it doesn't take into account if it's defined locally.  The only way to bypass this currently would be to unblock the country it is falsely being triggered as, because the exceptions section for country blocking is currently unreliable and the dev team are working on fixing that section. [/SIZE] 

    So statement is from Sophos, my logic is not flawed, it's the UTM that has an issue. I guess will need to wait for a fix.

    In the meantime you can vote for my feature request. feature.astaro.com.. look for Country Blocking.. maybe this will help them

    Thanks