Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 20 replies
  • Subscribers 1 subscriber
  • Views 16847 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

URL filtering not working and How to block Hotspot sheil/Ultrasurf

rose_zia
Hello everyone,

I am new user for Sophos UTM actually first timer using any firewall.  I am not able to block websites from URL filtering.

I want to know how to block Hotspot Shield / Ultrasurf.

attached for info.


This thread was automatically locked due to age.
  • 0
    Looks like you are using Transparent Mode. The URL filtering tab is for standard mode. Reference this post 2nd and 3rd page for additional info. 
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/46086

    I still have not found a way to blacklist sites using transparent mode. Adding packet filter rules does not work for me either because transparent mode intercepts http traffic. I can only blacklist for https traffic because I am not scanning https in transparent mode.
  • 0
    Hi, afaik, URL filtering should work in either mode.

    Note that if using transparent mode, you also need to configured https transparent mode if you want https filtered.

    Barry
  • 0 in reply to BarryG
    Hi, afaik, URL filtering should work in either mode.

    Note that if using transparent mode, you also need to configured https transparent mode if you want https filtered.

    Barry


    Yes...I apologize I meant "Additional URLs/sites to block" and "Always allow these URLs/sites" under the Url Filtering tab. Which, from the pics that were posted, I gathered that is what rose_zia was trying to use to block urls.
  • 0 in reply to MACH
    Looks like you are using Transparent Mode. The URL filtering tab is for standard mode. Reference this post 2nd and 3rd page for additional info. 
    http://www.astaro.org/gateway-products/web-protection-web-filtering-application-visibility-control/49493-url-blocking-2.html

    I still have not found a way to blacklist sites using transparent mode. Adding packet filter rules does not work for me either because transparent mode intercepts http traffic. I can only blacklist for https traffic because I am not scanning https in transparent mode.



    Thank's MACH,

    I tried, plz refer to the attached but still not able to block the yahoo.
    is there any way to block it from url filtering instead of FW.

    Regards,
  • 0 in reply to rose_zia
    Thank's MACH,

    I tried, plz refer to the attached but still not able to block the yahoo.
    is there any way to block it from url filtering instead of FW.

    Regards,


    Yes. However, you will have to switch from transparent mode to standard mode and add the proxy settings to each users browser.
  • 0
    Hi, rose_zia, and welcome to the User BB!

    In your first post, you used incorrect syntax in the Regular Expression for Yahoo.com.  Look on the Exceptions tab to see what syntax you should use. 

    If making that correction doesn't solve your problem, please post a line from the Web Filtering log showing the request that you wanted to block. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Actually in the "Domains" at the top just enter in the plain domain name, in full:
    www.yahoo.com


    Wildcards are not supports in "domains".

    For any sort of wildcards or subdomains you need to use a regular expression in the lower box, and as Bob indicates it is best to look at the examples in Exceptions.
  • 0 in reply to BAlfson
    Thank’s BOB,
    Unfortunatly still doesn’t, changing the syntax.
    Below is the log, if I want to block.

    2014:01:16-08:40:41 BRF-FireWall httpproxy[5089]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.25.130" dstip="66.196.66.212" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="53184" request="0xa6cc0b0" url="ph.news.yahoo.com/.../html" application="yahoo"
  • 0 in reply to Michael Dunn
    Actually in the "Domains" at the top just enter in the plain domain name, in full:
    www.yahoo.com


    Wildcards are not supports in "domains".

    For any sort of wildcards or subdomains you need to use a regular expression in the lower box, and as Bob indicates it is best to look at the examples in Exceptions.

    Hi Micheal,

    No success with your suggestion as well.
  • 0
    The url is http://ph.news.yahoo.com/blogs/the-inbox/china-smallest-province-plays-big-role-south-china-034022179.html
    The domain is ph.news.yahoo.com.  

    So if you want to block via a domain blacklist, add that domain to the domains section of the blacklist.  Realize though that how yahoo works, that story also appears on news.yahoo.com, ca.news.yahoo.com, and a bunch of other regional variations of sites.

    Therefore if you want to block all of *.news.yahoo.com you can create a blacklist with the following regex:

    ^https?://([A-Za-z0-9.-]*\.)?news\.yahoo\.com/

    If it is still not working, can you do a screenshot of your blacklist and another log entry?

    The thing is -- this story probably appears on other news sites as well.  So if your underlying requirement is to block people from reading the news you should do it via a category block.
    Create a new Filter Category and add a single category to it - General News.  Now you can block that.

    -------------
    Wait, I think I see the problem.  I'll leave all the above text because it is useful even if it doesnt apply to your problem.

    When I look at your log line I see this:
    exceptions="auth,content,url,cache,size" 

    That URL is matching an exception - which means that blacklist is not being applied.  This would not be an exception that comes out-of-the-box, it is one that you created.