Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 5291 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need help setting up IP-based Web Filtering

Razorblade
Hello, 

I'm new to astaro/sophos UTM. 
Currently I am evaluating the Sophos UTM 9.1 and I'm trying to set up Web Filtering. 

My goal is to set up webfiltering based on IP addresses without any AD authentication as there are Linux/BSD clients in the network. 
The problem is that although I tell the UTM machine to block everything, some sites are browseable...

This is what I have so far:
Filter action:
Name: Test
Mode: Block by default
Threshold: off
No whitelist, yet, just "block everything"

Filter assignment:
Name: Test-Filter
Users --> empty
Time: always
Filter Action: Test

Proxy Profiles:
Name: Test_Profile
Position: 1 (There's only one profile)
Source Networks: Client IP 192.168.9.2
Filter Assignments: Test_Filter
Fallback: Default content filter block action
Operation Mode: Transparent
Authentication: None

Every client (except the one with the IP 192.168.9.2) can browse the web without any restrictions. (google, news, shopping...)
The Client 192.168.9.2 is not allowed to browse google.com, google.co.nz, google.co.uk amazon.com, kaspersky.com etc. But some sites are not blocked, like vmware.com, guerrillamail.com or google.de. 

What am I doing wrong?


This thread was automatically locked due to age.
  • 0
    Hi ,

    If you tell the UTM to block everything it will block everything.
    The only way it won't block is if you allowed http in the packet filter and it should not be enable if you use transparent proxy.
    If you want special block for specific IP addresses you can create another profile that will catch them with specific block.
    All other you can configure to allow them in the default filter action.
    Then in the profile fallback action choose default filter action.
    In that way it will catch the IP you want and will allow all others.

    All my best.

    Gilipeled
  • 0
    Hi, 

    Thanks for your reply. 

    For the webfilter to work correctly, the firewall needs to block outgoing http(s) traffic?
    I tried that, but as I removed http from the firewall this did not change anything. Vmware.com is still reachable from this client.
  • 0
    Hi , 


    Are you using transparent proxy ?
    Can you attach a picture of packet filters rules and web proxy configuration .
    Something I wrong , if http is not allowed in packet filter and proxy is configured to block so no site should open.
    If you want me to assist you , I invite you to add my Skype and I will free time to help you.

    All my best.

    Gilipeled
  • 0
    Hi, Razor, and welcome to the User BB!

    You will get more help if you post screencaps of your settings.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello, 

    thank you for the offer. 

    The UTM is set up as a transparent proxy. 

    What I don't understand is why do I have to disable http(s) traffic on the firewall for the webfilter to work properly?
    How can I tell the UTM that a client may bypass the proxy when http(s) traffic is only allowed through the proxy?

    I also disabled https in the firewall and now the filter seems to work - somehow... Now the sites I whitelisted do work, but I do not get a "site blocked by Sophos" warning when a blacklisted site is blocked. The browser is running into a timeout - as the firewall is blocking the request. 

    What I am Trying to do:

    IP range 1 (192.168.9.10 - 25)
    block all, whitelist some sites (group1)

    IP range 2 (192.168.9.30 - 60)
    block all, whitelist some other sites  (group2)

    IP range 3 (192.168.9.200 - 210)
    block all, whitelist some other sites  (group3)

    Some IP Addresses need to bypass the proxy --> IP range 4

    All other IP addresses in the DHCP range may pass the proxy unfiltered (caching an virus scanning active)

    I will post screencaps as soon as I am back at my new astaro UTM.
  • 0 in reply to Razorblade
    As promised, here are the screencaps :-)

    They show the firewall settings with the missing http(s), the filter actions, the filter assignments and the proxy profiles. 

    There's also a screenshot showing the message that amazon.com is blocked although it's on the whitelist.

    vmware.com is still working though...
  • 0
    Please show the line from the Web Filtering log when the Amazon site was blocked.

    I'm confused about the Firewall rule you showed.  It appears that you changed the Web Surfing services group so that the rule now has no effect.

    If you want to control accesses via HTTPS, you must 'Scan SSL' in Transparent mode.  I prefer to use a Standard mode where Web Filtering handles all of the services in 'Allowed target services' on the 'Advanced' tab.  In a Standard mode, the 'Transparent mode' skip lists on the 'Advanced' tab are not consulted - you must add them to 'Exceptions' in your browser's 'Proxy Settings'.

    I maintain a document "Configure HTTP Proxy for a Network of Guests" that several of us here have contributed to.  If you'd like a copy, send an email to my username her @ the domain in my signature.

    Cheers - Bob
  • 0 in reply to BAlfson
    Please show the line from the Web Filtering log when the Amazon site was blocked.


    Sorry, but I don't have this log anymore. But as I tried amazon.com a bit later it was working. 

    I'm confused about the Firewall rule you showed.  It appears that you changed the Web Surfing services group so that the rule now has no effect.


    That's how I understood the post of gilipeled:
    The only way it won't block is if you allowed http in the packet filter and it should not be enable if you use transparent proxy.


    I prefer to use a Standard mode where Web Filtering handles all of the services in 'Allowed target services' on the 'Advanced' tab.  In a Standard mode, the 'Transparent mode' skip lists on the 'Advanced' tab are not consulted - you must add them to 'Exceptions' in your browser's 'Proxy Settings'.

    But in transparent mode you cannot add any exceptions to the proxy settings as you don't set a proxy. 

    If I understand you correctly, using 'Web Filtering Profiles' disables the settings in 'Web Filtering'?

    I think I'll need a step by step guide on how to achive my goals with the astaro UTM... From scratch :-)
    Thanks for the offer with the document, I will take you up on that.
  • 0
    Hi ,

    The thing is easy you can define how much proxy profiles you want , transparent or standard etc...
    To catch , delay, allow etc... Of any condition you want .
    Each profile has a fallback action which is another profile or the default profile.
    The fallback will catch every thing that wont be catch by the profile you defended .
    You can configure one or more profiles and in each define the fallback that usually is the default profile.


    All my best.

    Gil
  • 0 in reply to gilipeled
    Hello, 

    it works now :-)

    Yesterday I reinstalled the box, recreated my 'Filter Actions' and 'Proxy Profiles' and it just worked. 
    I don't know what went wrong the first time, maybe a missing checkmark or something like that. 

    I now have a working profile which blacklists all sites for a given source IP address. The client with this address is only allowed to open sites that are explicitly whitelisted in the "Filter Actions" section. 

    Now I'm going to test these setting with multiple profiles and multiple black/whitelists. 

    Thank you for your help and patience ;-)