Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3484 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Warning: Newbie Question--Need help blocking LAN ip

seventh
So, I installed and have been playing around with Sophos UTM 9 for some days now--had never even heard of this prior to a week or so ago.  I have the limited small business version running on an old Dell Optiplex 755 box.

I do not have managed switches so I can't do vlans, but I wanted a way to block certain areas of the network from others.  So instead of creating two /24 networks, I created one /23 and will manually separate the hosts (via static dhcp entries) on one half of the network or the other.

e.g. 192.168.0/23; so I would make one "network" 192.168.0.0 and the other 192.168.1.0.

For the life of me, I cannot get the first half of the ip range to NOT have access to the second half.  Is this just not possible?  Or am I missing something?

What I have done: Setup two ip ranges and then created a firewall rule stating that if any host within range 1 using any service tries to access a host within range 2, the packets should be dropped.  I then put this at the top of the firewall list.  However, I can assign a laptop an ip in the range 1 scope and it still is able to access a network share on a desktop within the range 2 scope.

Can anyone let me know what I might be missing??

Thanks very much in advance kind sirs and ma'ams


This thread was automatically locked due to age.
Parents
  • 0
    Hi Seventh,

    What netmask are you using for your clients? Netmask determines if the client device has to go through the UTM or not so an IP of 192.168.0.113/23 accessing 192.168.1.124 won't even bother with the UTM (it's in the subnet), whereas a client with 192.168.1.113/24 will go through the UTM (it's default gateway).

    One thing you can try, is setup the 192.168.0/23 as a /24 and add the 192.168.1/24 network in by setting the LAN interface to have an additional address of 192.168.1.1/24. Only catch is you have to have static IP addressing on the second subnet, but clients on the 192.168.0/24 subnet are forced to use the UTM.
Reply
  • 0
    Hi Seventh,

    What netmask are you using for your clients? Netmask determines if the client device has to go through the UTM or not so an IP of 192.168.0.113/23 accessing 192.168.1.124 won't even bother with the UTM (it's in the subnet), whereas a client with 192.168.1.113/24 will go through the UTM (it's default gateway).

    One thing you can try, is setup the 192.168.0/23 as a /24 and add the 192.168.1/24 network in by setting the LAN interface to have an additional address of 192.168.1.1/24. Only catch is you have to have static IP addressing on the second subnet, but clients on the 192.168.0/24 subnet are forced to use the UTM.
Children
  • 0 in reply to TheDrew
    Hi TheDrew,

    Thank you much for the response!

    So, I'm using a /23 network to have enough IPs that ordinarily would be in two /24 networks (but my situation could be for someone trying to split up a class /25 network into two /26 networks, etc., etc).  All in all I was just hoping to somehow disallow 1/2 of an IP space from accessing the other 1/2.  

    I currently have two NICs, one functioning as a WAN going back to ISP and the other for LAN going back to switches which are non-managed/cannot do VLAN duty.  

    What you say about the netmask does make complete sense....i told you this was a newbie question [:)]  But I truly do get it now, if the host I"m trying to block with UTM is on the same subnet as the other host, there is no reason for the host to go to the GW (to get to a different subnet) so it never gets blocked.  

    I like your idea about adding an additional address to the LAN interface!  I have been playing around with it, but cannot get it to work....hopefully someone else can chime in.

    I'm able to add the additional IP address (e.g. 192.168.3.1 /24) to the LAN interface and I'm able to setup a dhcp pool handing out IPs for that /24 network.  However, there is an issue with the gateway functionality--the 192.168.3.1 ip address is not an actual gateway.  When dhcp hands out an ip in that range to my laptop (192.168.3.2), I correctly get the ip address assigned and am able to ping the 192.168.3.1 address, but I am unable to get out on the internet as again it is not truly a gateway.

    I created a DNAT stating if anything tries to access the 192.168.3.1 IP to send it to the actual internal gateway, but that does not seem to be working.  And attempting to put the true gateway address into the gateway field of the dhcp pool doesn't work as its on a different subnet.

    Is there anyway to get this newly added secondary interface to act as a gateway??  If so, I think I can get this working!!