Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1335 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ from scratch

Astaronator
Hey all,

I'm sorry if this is a repeated question or a simple, but there are so many results for DMZ, I'm not finding what I need.

Basically we opted not to configure the DMZ via the Auto Install Wizard so now I have an interface I would like to convert to a DMZ. Can someone tell me what rules I would need to set this up as a true DMZ? I have already tried creating a firewall rule that says "DMZ (Network) > Any > Any > Drop" and placed it at the top of the rule list, but I can still access the website running on the DMZ network.

I then tried the following with no avail:

Any > Any > DMZ (Net) > Drop
Production (Net)> Any > DMZ (Net) > Drop
DMZ (Net) > Any > Production (Net) > Drop

Any guidance would be great.

Thanks,
-Nator
(Sophos UTM Software v9.201)


This thread was automatically locked due to age.
  • 0
    Hi,

    1. make sure your rules precede any relevant Allow rules, and make sure you didn't put Auto rules on any NATs, etc.

    2. Are you also using the http proxy (Web Protection)?
    If so you need to make sure it's not listening on the DMZ interface, and add filters from Production if needed.

    Barry
  • 0 in reply to BarryG
    Thanks for responding Barry.

    1. The "Any > Any > DMZ > Drop" rule is at the very top. #1 and there are no rules allowing any traffic from any other network to the DMZ nor the "Any" network destination. Also there are no NAT rules in use on this network nor any "automatic firewall rules".

    2. Web proxy is enabled, but the DMZ is not listed as an "allowed network". It's my understanding that these are the networks that are being web filtered correct? So DMZ should not be a part of it as I want it to have full access to the outside?

    All that said the PROD network is still happily connecting to the dev web server on the DMZ network. Even with the packet filter rule set to drop. I am very confused. 

    I was hoping to basically drop ALL traffic into and out of DMZ, then allow ONLY the ports required into and out of the network from both inside and outside. 

    Thanks for your help!
    -Nator
  • 0
    Hi,

    If you want to block LAN->DMZ,
    You probably need a BLOCK rule to the DMZ from PROD, in the web filter.

    Barry
  • 0
     All that said the PROD network is still happily connecting to the dev web server on the DMZ network. Even with the packet filter rule set to drop. I am very confused. 

    See #2 in Rulz.  Also, you might be interested in considering a document I maintain, "Configure HTTP Proxy for a Network of Guests" - if so, click on my name beside my Cyrano avatar and send me an email.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks guys. I guess I figured that if I block "all" packets between the networks then the proxy doesn't matter as the packets will not go through and thus there would be no communication. 

    Rule#2 makes sense now! I have the Rulz posted above my monitor and use them often. I didn't quite get #2, but this makes things a bit clearer. I will consult your post Bob and see if I can make this happen.

    Thanks again for all of your help! I swear this board is better than a support call most times. 

    -Nator