Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 26891 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Howto block host from using internet

gcraenen
Hi,

I'm new to the Sophos UTM and trying to find howto block internet access for certain devices on the network. I can identify them by IP address and mac address. Have created a mac list and a static ip addr.

When i create a firewall rule to reject or drop traffic to the external interface nothing happens and internet access is still in place. In the live log view I can see that the firewall rule is "hit" and colored yellow or red, but that's it.

I'm stumped. I've used other brands of UTM's and this always did the trick. What's different with the Sophos UTM's and how can I block access?


This thread was automatically locked due to age.
  • 0
    Hi,
    When i create a firewall rule to reject or drop traffic to the external interface nothing happens


    It sounds like you are creating a rule along the lines of:
    [Device] >> [ANY] >> [External(Address)] >> DROP

    This will not work on the UTM.

    Have you tried instead:
    [Device] >> [ANY] >> [ANY] >> DROP

    This will require that you add any exceptions above the drop rule:

    04. [Device] >> [Service] >> [Exception] >> ALLOW
    05. [Device] >> [ANY] >> [ANY] >> DROP

    These also need to be above any permissive rules involving the network the device is on:

    04. [Device] >> [Service] >> [Exception] >> ALLOW
    05. [Device] >> [ANY] >> [ANY] >> DROP
    06. [Local(Network)] >> [HTTP/HTTPS] >> [ANY] >> ALLOW
  • 0 in reply to Bel
    Yes, you're right. I have changed it to

    [Device list] >> [ANY] >> [ANY] >> [time frame] >> DROP

    and see how that's going to work.

    Tried it, but the effect is the same. Can it have something todo with the fact that I'm also using web filtering?
  • 0
    Can it have something todo with the fact that I'm also using web filtering
    Yes, the web filtering proxy has precedence over firewall rules.  You can either A)  create and apply your blocks in web filtering, or B) (if using the web proxy in transparent mode), you can add the devices you want to block to the transparent skiplist, then the firewall rules would apply.
  • 0 in reply to Scott_Klassen
    Ok. If I put them in the skiplist, all webfiltering is cancelled. That was not really my intention. So what is the easiest way to create a block filter for a list of devices in a certain time frame?

    Yes, the web filtering proxy has precedence over firewall rules.  You can either A)  create and apply your blocks in web filtering, or B) (if using the web proxy in transparent mode), you can add the devices you want to block to the transparent skiplist, then the firewall rules would apply.
  • 0
    Web Filtering Profile with the hosts you want this applied to in Allowed Networks.  Make certain that this profile is higher in the list than others that may include these same IPs, such as LAN (Network).  Create any policies you wish, which can use time based settings.  Filter Actions are applied to Policies, which you can lock down by placing into "Block all content, except as specified below" mode, which would block most traffic unless explicitly allowed.

    Take a few minutes to click through the various pages of the Web Filtering sections, so that you understand what can be configured where.
  • 0
    A belated welcome to the User BB!

    Ok. If I put them in the skiplist, all webfiltering is cancelled

    As part of the initial installation, the wizard probably created a rule like 'Internal (Network) -> Web Surfing -> Internet : Allow', just make sure your block rule is above that one.  The packets will qualify for the initial install rule outside the time frame of the block rule.

    I would suggest that you change your block rule to '{devices} -> Web Filtering -> Internet : {time event} : Drop'.

    Cheers - Bob
    PS This also can be done strictly in Web Filtering, so feel free to ask the corresponding question in that forum if you're interested.
  • 0 in reply to BAlfson
    Ok, thanks. For convenience I have a rule:

    Internal network --> any --> External network --> allow

    So I have to place anything above that.

    I understand that with web filtering I do not need a firewall rule anymore? All trafic can be blocked with webfiltering?

    A belated welcome to the User BB!


    As part of the initial installation, the wizard probably created a rule like 'Internal (Network) -> Web Surfing -> Internet : Allow', just make sure your block rule is above that one.  The packets will qualify for the initial install rule outside the time frame of the block rule.

    I would suggest that you change your block rule to '{devices} -> Web Filtering -> Internet : {time event} : Drop'.

    Cheers - Bob
    PS This also can be done strictly in Web Filtering, so feel free to ask the corresponding question in that forum if you're interested.
  • 0
    Internal network --> any --> External network --> allow

    That rule will have no effect.  You need "Internet" instead of "External (Network)" as the target.

    Yes, all web browsing can be regulated with Web Filtering.
     
    Cheers - Bob
  • 0 in reply to BAlfson
    Ok, thanks, Bob. Didn't know that. Strange that I had internet connection with the wrong firewall rule, or is this also regulated with webfiltering and this rule had no effect what-so-ever?

    It takes a little bit getting used to. I'm familiar with cisco, mikrotik and sonicwall and those brands do not use webfiltering "in front off" firewall-rules.

    I will have to dive into that and find out how it works. Will direct questions about that topic (they'll probably will come) in the appropriate forum. Thanks all for helping me out so far.
  • 0
     Strange that I had internet connection with the wrong firewall rule, or is this also regulated with webfiltering and this rule had no effect what-so-ever?

    Yes.

    You might get some insight from reading through the Rulz.

    Cheers - Bob