Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 6868 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

how to set different rights (web app/filter)

LoD
Hi,

my setup is as followed:
UTM 220
- 2 WAN interfaces
- 2 Wireless lans (guest + internal; different subnets)
- web filtering: 
transparent with AD SSO. No auth for blackberry
allowed networks: internal + guest
filter profiles: default settings
application control: 1 rule for source net "any" blocking ads

Now I wanted to have another AC-rule to block social networking for internal network users but allow for guest network. I created the rule and set it to the top of AC.
To test I logged in with my blackberry from internal, watching AC-Log and Web Filtering log but still can access e.g. facebook. No entries in AC-Log only in WebFiltering log.

Would be glad if s/o could explain how to achieve that. Reading the "rulz" didn't clearify [:(]

Greetings
LoD


This thread was automatically locked due to age.
Parents
  • 0
    the WebFilter profiles allow me to filter my VLAN4(private) and VLAN5(servers and VM's) very strict.
    I add a profile for 1 or 2 hosts if I need an exception, based on a static DHCP lease.

    AppControl works per source network/IP's,
    So adding the exceptions on top, with stricter rules below, should do the job.
    Example:
    Rule 1 - Allow Facebook for a certain workstation in the Private Network
    Rule 2 - BLOCK Facebook for private network

    Rule 3 - Block Facebook for employer's device on guest network(example [;)] )
    Rule 4 - Allow Facebook for guest network

    I am not so sure about the scanning order of the various modules
    I found this:

    Rule #2:
        In general, a packet arriving at an interface is handled only by one of the following, in order: the connection tracker (conntrack) first, then Country Blocking, then DNATs, then VPNs and Proxies and, finally, manual Routes and manual Firewall rules, which are considered only if the automatic Routes and rules coming before hadn't already handled the traffic.

    This means, it first gets routed, checked for country blocking, NAT, VPN, proxies(thus Web filter), Firewall.
    I am not sure if this firewall includes the app control, or if it's one of the proxies.
    Maybe there's someone else who knows this.

    Kind regards,
    Frank
Reply
  • 0
    the WebFilter profiles allow me to filter my VLAN4(private) and VLAN5(servers and VM's) very strict.
    I add a profile for 1 or 2 hosts if I need an exception, based on a static DHCP lease.

    AppControl works per source network/IP's,
    So adding the exceptions on top, with stricter rules below, should do the job.
    Example:
    Rule 1 - Allow Facebook for a certain workstation in the Private Network
    Rule 2 - BLOCK Facebook for private network

    Rule 3 - Block Facebook for employer's device on guest network(example [;)] )
    Rule 4 - Allow Facebook for guest network

    I am not so sure about the scanning order of the various modules
    I found this:

    Rule #2:
        In general, a packet arriving at an interface is handled only by one of the following, in order: the connection tracker (conntrack) first, then Country Blocking, then DNATs, then VPNs and Proxies and, finally, manual Routes and manual Firewall rules, which are considered only if the automatic Routes and rules coming before hadn't already handled the traffic.

    This means, it first gets routed, checked for country blocking, NAT, VPN, proxies(thus Web filter), Firewall.
    I am not sure if this firewall includes the app control, or if it's one of the proxies.
    Maybe there's someone else who knows this.

    Kind regards,
    Frank
Children