firewall not working

What is the network topology?

Web Proxy and/or other features enabled?

What exactly do you mean when you say you still have access to the internet?

There are automatic and hidden rules that may be causing the firewall to act in ways you do not expect.

From the command line:

# iptables -L

hi, thanks for replaying!

i restored an old config already, which was active after the installation
with just one internal, one external and the standard rules.
the problem was not solved.

here my config:

sophos is the internet gateway. there are 4 gbit interfaces:
external -> Fiber Optic Modem
internal -> cisco300-10 layer2 mode, with vlan1 and vlan199 (2 dhcp-range on sophos)
internal2 -> voip(fritzbox)
2nd admin -> no permanent connection

there is also a ipsec vpn to my family in the next town.
disabling it had no effect.

[Status: Enabled]  Firewall is active with 10 rules
[Status: Enabled]  Intrusion Prevention is active with 1880 of 23874 patterns
[Status: Enabled]  Web Filtering is active, 11450 requests served today
[Status: Disabled]  Network Visibility is inactive
[Status: Enabled]  SMTP Proxy is active, 0 emails processed, 0 emails blocked
[Status: Enabled]  POP3 Proxy is active, 0 emails processed, 0 emails blocked
[Status: Disabled]  RED is inactive
[Status: Disabled]  Wireless Protection is inactive
[Status: Disabled]  Endpoint Protection is inactive
[Status: Enabled]  Site-to-Site VPN is active with 1 of 1 tunnels
[Status: Disabled]  Remote Access is inactive
[Status: Disabled]  Web Application Firewall is inactive
[Status: Disabled]  Sophos UTM Manager is not configured
[Status: Disabled]  Sophos Mobile Control is inactive
[Status: Disabled]  HA/Cluster is inactive
[Status: Enabled]  Antivirus is active for protocols HTTP/S, SMTP, POP3
[Status: Enabled]  AntiSpam is active for protocols SMTP, POP3
[Status: Enabled]  AntiSpyware is active

even if i disable all fw rules i have still access to the internet. 
it is blocking by default, isnt it?

i also added as rule on top: any>any>any>drop = no effect.

I assume that by accessing the internet, you are referencing web pages.  If you have the Web Filtering proxy enabled, this controls access (port 80, 442, 8080, and a few others), not the visible firewall rules.  Turn the web proxy off and your drop firewall rule would then take effect.  The same would apply for other proxies and anywhere there is an Allowed Networks box as well.

Yes, there is a non-visible default drop rule that is processed last in the firewall.

thank you very much!

i had activated Web Filtering for all internal networks.
now i limited it to specific hosts and the firewall is perfectly working again, for all other hosts and networks.

BUT:
i really would like to use web filtering and firewall together, to have a better content control.

i really would like to use web filtering and firewall together, to have a better content control.

  Well, you actually are.  By populating an Allowed Networks box, like in a Web Filtering Proxy Profile, a non-visible firewall rule is created to allow the traffic, which has precedence over any visible firewall rules.

Hi, Markus, and welcome to the User BB!

Check #2 in Rulz for more details about what Scott's telling you.

Cheers - Bob