Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 7641 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ getting to LAN

kv102t
OK so this is new setup/play

I have a few rules, basic ANY at the moment but will lockdown later.
i'm sure this is not the issue here.

So my Rules are:
1: LAN -> ANY -> InternetIP4 (ALLOW)
2: LAN -> SSH,RDP,HTTP -> DMZ (ALLOW)
3: DMZ -> HTTP -> InternetIP4 (DENY) - So DMZ can't get to router GUI
4: DMZ -> ANY -> InternetIP4 (ALLOW)

items from DMZ to LAN IPs like SSH,RDP,TELNET, PING, do not get to LAN

HTTP (not tested HTTPS) can get to LAN.  i'm guessing the sophos is dealing with the traffic in another way.  Even adding the following doesn't stop HTTP

between 2: & 3:
DMZ -> HTTP -> LAN (DENY) - HTTP still works.


Please advise ! [:(]


This thread was automatically locked due to age.
Parents
  • 0
    HTTP (not tested HTTPS) can get to LAN. i'm guessing the sophos is dealing with the traffic in another way. Even adding the following doesn't stop HTTP
    You are using the Web Filtering proxy, which has a higher precedence than any manual firewall rules.  If you need to block HTTP access from DMZ to LAN, you would need to block this traffic in the Filter Action you are applying to the DMZ network.
Reply
  • 0
    HTTP (not tested HTTPS) can get to LAN. i'm guessing the sophos is dealing with the traffic in another way. Even adding the following doesn't stop HTTP
    You are using the Web Filtering proxy, which has a higher precedence than any manual firewall rules.  If you need to block HTTP access from DMZ to LAN, you would need to block this traffic in the Filter Action you are applying to the DMZ network.
Children