Sophos UTM 9.313-3 Visible to online scans (pcflank and various nmap scans)

Hi, DJ, and welcome to the User BB!

It's hard to help without details - why are you failing?

Cheers - Bob

Obfuscate the IP and post the results please.  "Things aren't as expected, why?" isn't much to go on.  [:)]

I have no ports open

You cannot base this statement solely on the visible firewall rules.  See Rule #2 at https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.  Anywhere you see, and populate, an Allowed Networks box (VPNs, proxies, webadmin, SSH, user portal, etc.), it will create non-visible "system"firewall rules that have precedence.  A good example is the SMTP proxy, use of this opens up several ports, which are necessary to receive incoming mail.

Sorry for the lack of details, don’t know what I was thinking when I made this post. Let me start over.

I am being seen as an active host on multiple firewall checking websites. They can ping me yet it looks to me as if I have this disabled.

Fresh install of Sophos UTM 9 9.313.

Video of my basic setup:
https://youtu.be/gnWGvjtOiH8

Scan site:
Scan settings Imgur

Scan results:
Starting Nmap 6.00 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2015-07-10 03:52 EEST 
Initiating Ping Scan at 03:52 
Scanning ***.***.***.*** [4 ports] 
Completed Ping Scan at 03:52, 0.13s elapsed (1 total hosts) 
Initiating SYN Stealth Scan at 03:52 
Scanning ***.***.***.*** ***.***.***.***) [22 ports] 
Completed SYN Stealth Scan at 03:52, 1.95s elapsed (22 total ports) 

Nmap scan report ***.***.***.*** (***.***.***.***) 
Host is up (0.10s latency). 

PORT STATE SERVICE 
21/tcp filtered ftp 
22/tcp filtered ssh 
23/tcp filtered telnet 
25/tcp filtered smtp 
80/tcp filtered http 
110/tcp filtered pop3 
143/tcp filtered imap 
179/tcp filtered bgp 
443/tcp filtered https 
465/tcp filtered smtps 
993/tcp filtered imaps 
995/tcp filtered pop3s 
1433/tcp filtered ms-sql-s 
1720/tcp filtered H.323/Q.931 
1723/tcp filtered pptp 
3306/tcp filtered mysql 
3389/tcp filtered ms-wbt-server 
5060/tcp filtered sip 
5900/tcp filtered vnc 
8000/tcp filtered http-alt 
8080/tcp filtered http-proxy 
8443/tcp filtered https-alt 


Nmap done: 1 IP address (1 host up) scanned in 2.25 seconds 
Raw packets sent: 49 (2.128KB) | Rcvd: 4 (184B) 

Seems like I screwed something  basic up and I am just missing it. Thanks for answering my post.

Sending you a PM.

I just did a fresh install of 9.312, set it up as your video, updated to 9.313, and updated patterns.  From a client system out on the internet I did a ping test and I ran an NMAP (real NMAP, NOT some hosted web based thing) and did not see any of what you are seeing.  The only ports that showed were 22 and 4444, which are expected, as I had Any set as allowed networks for SSH and and WebAdmin for testing purposes.  This being said, the only thing I can thing of is that either your infrastructure or testing methodologies are flawed.  

In the port list above from your results, there are some services that just aren't going to be running unless overtly enabled on the UTM, like the mail protocols, VPN protocols, BGP, etc.  UTM doesn't run ms-sql-s, ms-wbt-server, or vnc.  The only way these are going to show up is if you have DNATs forwarding these services to systems behind the UTM that are running them.  It looks like something else other than the UTM is being scanned.

Is the UTM WAN plugged directly into the modem and is the modem just a modem or does it provide other services (routing, VPN, proxy, port forwarding, etc)?

Test using the actual NMAP program that you download and install from a client out on the internet.  Alternately you can plug both the UTM WAN and client machine directly into the router (I'm assuming that the is a home router like Linksys or Netgear, that has a few switch ports for LAN devices.  This way you can run the installed NMAP directly against the UTM WAN IP. without having to worry about intermediary upstream devices.

I think I have it figured out (to a point).

(Modem is a standard cable modem with no features, worked with home router)

I ran scans from an external network with nmap and could not see anything on my ip.
I ran scans from an internal network with nmap and looking at all the traffic with wireshark and could not see any responses from Sophos UTM .

" methodologies are flawed" - yup

If I opened a scanning website and ran the scan from within my network they could see me.

If I scanned my IP from my cellular connection they could not see me. It seems that by connecting to the website and running the scan from the network I was testing they could see me.

Maybe the existing connection is goofing with the firewall, it does not seem like a real problem. My router would block this but it does not seem like a big deal to have an ip I am already connected to know I exist.

Thanks for all of your help trouble shooting this.

Not a problem Dexter.  Happy to help.