Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1297 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Profile not working

Gecko888
Hi,

I have set up a profile for no internet access. I have created a new filter for no internet and set the mode to 'Block by Default'. This works ok, and through the logs, can see many "web request blocked". But when trying to access a site that was entered in the global exception whitelist, Web Security, HTTP/S, Exceptions, the site comes up ok. 

Is there a way to block ALL the sites that are listed in the global exceptions list for the no internet profile. Running version 8.001.

Thanks

Regards
Dan


This thread was automatically locked due to age.
  • 0
    Hi Dan,
    Since you have entered the exceptions in the GLOBAL list, you are setting the exceptions for all profiles. I can think of two different things: 
    * You could set up different profiles and assign those whitelists to the individual profiles instead of the global one, to override such issues.
    * For each URL exception in the GLOBAL profile, set an "ALWAYS BLOCK THIS URLS/SITES" in your "no internet" profile.
  • 0
    I'll be interested to learn if lkar's second idea works, so please post your results.  The last time I looked at it (almost 2 years ago), the global exceptions were checked first.  It would be good news if that were changed.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Ikar,

    I have tried point 2, no good. The sites still come up. 

    I have tried to create a packet filter rule for the no internet group. The first rule I created for testing, is for one IP to be blocked.  Source: local IP, Service: 8080, Destination: Internal (address), and action to drop. When enabled, I can still get to the websites from the PC. A tcpdump shows packets coming in from the blocked IP to the internal interface on the Astaro and vice versa. Could have I missed something when creating this packet filter rule? The packet filter rule is on top of the list.

    Regards
    Dan
  • 0
    Hi Dan,

    As I can understand you are trying to block your NO-INTERNET PCs from accessing the web proxy alltogether. This won't work with packet filter. 

    Try to create a DNAT rule to achieve that:

    Source: No Internet PCs
    Service: HTTP-PROXY
    Destination: Astaro LOCAL IP
    NAT Mode: DNAT
    Destination: BlackHole IP (something that does not exist in your net)
    Destination Service: HTTP-PROXY (or whatever)
  • 0
    Hi Ikar,

    Creating the DNAT rule worked.

    Thanks again

    Regards

    Dan