Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 3896 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall rules hit not showing up in live preview.

Coder68
I am building a new UTM and for some reason, none of the rules that allow or deny traffic show up in the live firewall log preview. I have each rule checked for logging. 

I have a DNS rule that says:

Internal --> DNS -> Sophos UTM

When I go to a website, a DNS request is done, and can be seen in Wireshark, but it does not show up in the live log. 

The same holds true for my email on port 587. It should show it hit this rule and show that line in green. It does not. Logging is set for this rule as well.

My current firewall shows all of this. 

I am hot and tired so I am guessing it is obvious but I am missing it...
What am I missing?


This thread was automatically locked due to age.
  • 0
    If you are using the Email Protection (Email Protection > SMTP > Global) and DNS Proxy (Network Services > DNS > Global) functions, these create their own firewall rules that have precedence over any manually created rules, so they don't hit the rules you made.  This goes for any proxy or anywhere that you have an Allowed Networks box.  For DNS, take a look at Network Protection > Firewall > Advanced for the Log Unique DNS Requests setting.  This is ONLY recommended for troubleshooting as it will be highly system resource intensive.
  • 0 in reply to Scott_Klassen
    Good Morning,

    have you checked the option for unique DNS-requests (logging) on firewall/advanced tab?
  • 0
    OK, that was it. I had turned on DNS logging under the advanced tab, and the wizard turned on the web filtering so I was not seeing any of that traffic hit the firewall. It was a fresh build and I was very tired and did the thought had crossed my mind, but then I was thinking that I have not turned on web stuff yet... 

    Thanks!
  • 0
    Your welcome.  Glad it's fixed.  [:)]
  • 0
    DNS update question.

    I want my machines to use only the UTM for DNS. IF malware were to change the local DNS settings, I want those DNS calls blocked. 

    Internal network in proxy:
    DNS firewall rule of Internal -DNS -> UTM 

    All DNS calls to any non UTM DNS servers fail. It does not matter if the firewall rule is on or on.  DNS calls to the UTM work. It does not matter if the DNS firewall rule is on or off. 

    Based on what I am seeing my desire can be met by using the DNS proxy for my trusted network. There is no need for a DNS rule. 

    Is this a correct statement?

    If this is correct, why does the Wizard make a DNS firewall rule, when it also sets the Internal network in the DNS proxy. (I do not think I did that...)


    Thank you,

    C68
  • 0
    Based on what I am seeing my desire can be met by using the DNS proxy for my trusted network. There is no need for a DNS rule. 
    For what you want, disable or delete the firewall rule.  You only need to configure the DNS proxy at Network Services > DNS > Global.  Configuration of the Allowed Networks in this section creates "system" firewall rules (has precedence over any manually created rule) that allows access from your clients (by use Internal (Network)) to the UTM and from the UTM to configured forwarders.