Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 3592 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ Segment can access Internal web services

ChrisTwigg
Hi 

We have several zones.

Internal 192.168.10.0/24
Wifi 172.10.10.0/24
Guest Wifi 172.20.10.0/24
DMZ 10.0.0.0/24

Our problem is this.

When connected to the wifi,guest wifi and DMZ we can access any web service running on any server within the internal lan.
 
there are no auto or user created firewall rules which allows this.

i have tried creating a block rule in place.

Source DMZ,Wifi,Guest Wifi
Service Any
Destination Internal
Action: tried both block and reject.

Any Ideas ?


This thread was automatically locked due to age.
  • 0
    your proxy will probably allow this traffic.
    You can create a filter action for your hotspot interface where you block access to your other subnet(s)
  • 0
    Thanks for the advice.

    I thought it must of been the proxy because the firewall rules do nothing.

    The option of networks are not available from the filter actions?
  • 0
    See my attachment. You can create a filter action under:

    Web Protection -> Web filtering Profiles -> Filter Actions

    Under Block these sites/URL you can create the Regular Expression for your internal networks (in my situation all starting with 192.168.x.y)
    Next you can create a Filter Assignment where you assign the created Filter Actions.
    Then create a Proxy Profile for your hotspot network where you select the created Filter Assignment.
  • 0
    Ok great thanks.

    Not my ideal way of doing it but it will work. 

    I suppose i'll have to put in the DNS hostname's too, Or create a firewall rules blocking DNS between network segments.

    Thanks
  • 0
    Correct. You should use DNS-servers from the internet for your hotspot interface. Your hotspot interface also shouldn't need to be on the allowed networks range for the DNS global settings. Just create a firewall rule

    hotspot (network) -> DNS -> Internet IPv4/v6  Allow
  • 0
    Hi, Chris,

    If you'd like, I can send you a copy of a document that I maintain that several people here have contributed to, "Configure HTTP Proxy for a Network of Guests."  Just send an email to my username here @ the domain in my signature block.

    Cheers - Bob
  • 0
    Wanted to provide an update since I ran into the same problem but the fix was different.

    You need to add the internal network to the transparent destination host skiplist, then that will not be proxied by the UTM and then the DMZ network will not be able to get to the internal websites
    That is under Web Protection | Filtering Options | Misc