Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 25 replies
  • Subscribers 1 subscriber
  • Views 42605 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Filtering Policy - Blocked content exceptions?

GZgidnick
Hopefully easy one. 
Web Filtering is on with a custom policy for Internal network.
The Filter Action applied is: ALLOW with a single blocked Category = Nudity.
There is one particular site that I need to allow as exception through the policy as it is not properly identified.

1. Added the site to the Web Filter Profiles > Given Action Filer > Websites > Allow this websites 
The site continues to be blocked.

2. Added the site to Web Filtering Options > Websites > Add Site > Category: Nudity > Reputation: Trusted
The site continues to be blocked

Test results:
Request URL: http://...........com/
Request Time: 15 Aug, 23:07 (EST)
Result: Blocked
Reason: Forbidden category detected
URL Category: Nudity 
Category overridden by websites list
URL Reputation: Trusted 
Reputation overridden by websites list
Filter Profile: Internal Network Web Control
Policy name: internal
Exceptions: AFC transparent skip, Advanced Threat Protection

What am I missing?

EDIT:
The only thing I found to be working as of this moment is:
Web Protection > Filtering Options > Bypass Users > Add user to the box
The listed user credentials can be used to unblock the website. 
Not very transparent solution


This thread was automatically locked due to age.
  • 0 in reply to vilic
    This is what is not working for me. The UTM-Blacklist.jpg shows what I have setup and the UTM-Policy-Test.jpg shows the results.

    It seems broken to me, but maybe I am missing something.
  • 0
    "rmw.de" is a URL
    "rmw.de" is a domain

    Which is the edit whitelist/blacklist object asking for and which have you added?
  • 0 in reply to Scott_Klassen
    As I understand the documentation it wants the domain. The lowest common denominator so to speak. As you can see I have checked the option to "Include subdomains". This should really shut down the whole domain.

    But I have also tried all the variations I can think of: rmw.de, www.rmw.de, rmw.de with and without the backslash for escaping the dot in regex.

    In the second screenshot the http:// is listed, that is inserted by the Policy Test page.

    By the way, rmw.de is just an example. There is nothing on that site I want to block. But it is one I can use without bothering any of my users.
  • 0
    This is what is not working for me. The UTM-Blacklist.jpg shows what I have setup and the UTM-Policy-Test.jpg shows the results.

    It seems broken to me, but maybe I am missing something.


    Your setup was different, in my example "Match URLs based on" was based on domain, not on Regular Expression.

    It is not clear to me why are you insisting on regular expressions, when you can easily solve your problem blocking the whole domains (like in my sophos.com example) ?
  • 0
    I do not want to instist on it. I have tried with and without. But the documentation indicates escaping the dot in some places. So I have tried that too.

    But maybe I read over your example to quickly. Are you saying that this works for you?
  • 0 in reply to Timotheus

    But maybe I read over your example to quickly. Are you saying that this works for you?


    2014:08:21-11:57:12 lab-gw1 httpproxy[26358]: id="0062" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden url detected" action="block" method="GET" srcip="172.16.1.1" dstip="" user="LAB\administrator" statuscode="403" cached="0" profile="REF_HttProContaInterNetwo (Company)" filteraction="REF_HttCffUsersFilteActio (Users Filter Action)" size="3093" request="0xe40593f0" url="http://www.sophos.com/" exceptions="" error="" authtime="131" dnstime="0" cattime="0" avscantime="0" fullreqtime="94119" device="1" auth="2"
  • 0 in reply to vilic
    Thank you Vilic for sticking with me on this. I thought I had tried everything but obviously I was mistaken.

    Listing the domain without a backslash before the dot does work. So the knowlagebase article at Black / White List Editor in Sophos UTM 9.2 is correct.

    I realize now that I had also misunderstood the documentation. Once you see it working things get clearer.

    Thanks again!
  • 0
    @GZgidnick
    When you add a whitelist, please make sure that you mark the checkbox "Include subdomains".  You do not need to have http nor should you escape the . as this is a domain list, not a regex.
    Currently, your whitelist entry allows arenabg.com but not www. arenabg.com

    Secondly, the recommend method would be to use the Filtering Options > Websites list.  In your original post you said that the site is incorrectly categorized as Nudity, but then you recategorized it as....  Nudity.  Therefore it is still blocked.  Change the category to one that is not blocked.


    @all
    Please understand that in the Filtering Options > Websites list and in the whitelist/blacklist editor where it says "domains" it is looking for a non-regex bare domain name such as "google.com".  I recommend always using the base domain name and then checking the "includes subdomains" field.  In the whitelist/blacklist you can change to "Match domains based on Regular Expressions" if you prefer that mechanism.
  • 0
    I am back here as this is simply not working.

    There is web policy to the network Sophos is handling right?
    Into that web policy there should be exceptions towards the Sophos should pass through the traffic right?

    This doesn't seems to work for me.
    Please find attached