Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1372 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Basic Firewall Question

caliph
Hello.

I cannot wrap my head around this very basic issue.
I have configured 2 firewall rules in the UTM:

position --          source  --       service  --      action --   destination
1      --              x.x.x.61  --     any      --       reject --   any
2      --              any     --        websurf  --     allow  --    any

Why can this host 61 still surf the internet? In my understanding the 1st rule will be applied and the second will be ignored for host 61.

Any advice is apprciated.

Best regards,
Stefan


This thread was automatically locked due to age.
  • 0
    do you have the web proxy on?  if so that's why..any of the proxies when activated bypass the firewall rules.  so if you want to block that host you will have to lockdown who is allowed to access the proxy leaving out that machine.
  • 0
    Hi Stefan and welcome at the Sophos User BB! [:)]

    As William stated you most likely do have Web Protection tirned on, so the web traffic will never hit the firewall.
    Also check out BAlfson's Rulz, where you can find more information.

    To entirely block this host you can DNAT it to a non-existent address.
  • 0
    Thank you for your answers. I also checked the Rulz and now understand the order of handling.

    And yes I have web protection activated.

    Do you have any suggestion how to achieve this goal: 
    for host 61: block all traffic to "any" except for "PPTP" and "Terminal Applications".
    Before the UTM deployment I would use the firewall to achieve this. What would be a smart way to do it with web protection enabled?
  • 0
    Web protection in Standard or transparent mode?

    If transparent: go to Web Protection -> Fitlering options -> Advanced, then add your host .61 to the transparent source skip list.
    Now you can handle the traffic with firewall rules, as this source host will not use the proxy.
  • 0
    Thanks a lot for this advice. Works like a charm now.