Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 6868 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

how to set different rights (web app/filter)

LoD
Hi,

my setup is as followed:
UTM 220
- 2 WAN interfaces
- 2 Wireless lans (guest + internal; different subnets)
- web filtering: 
transparent with AD SSO. No auth for blackberry
allowed networks: internal + guest
filter profiles: default settings
application control: 1 rule for source net "any" blocking ads

Now I wanted to have another AC-rule to block social networking for internal network users but allow for guest network. I created the rule and set it to the top of AC.
To test I logged in with my blackberry from internal, watching AC-Log and Web Filtering log but still can access e.g. facebook. No entries in AC-Log only in WebFiltering log.

Would be glad if s/o could explain how to achieve that. Reading the "rulz" didn't clearify [:(]

Greetings
LoD


This thread was automatically locked due to age.
Parents
  • 0
    the WebFilter profiles allow me to filter my VLAN4(private) and VLAN5(servers and VM's) very strict.
    I add a profile for 1 or 2 hosts if I need an exception, based on a static DHCP lease.

    AppControl works per source network/IP's,
    So adding the exceptions on top, with stricter rules below, should do the job.
    Example:
    Rule 1 - Allow Facebook for a certain workstation in the Private Network
    Rule 2 - BLOCK Facebook for private network

    Rule 3 - Block Facebook for employer's device on guest network(example [;)] )
    Rule 4 - Allow Facebook for guest network

    I am not so sure about the scanning order of the various modules
    I found this:

    Rule #2:
        In general, a packet arriving at an interface is handled only by one of the following, in order: the connection tracker (conntrack) first, then Country Blocking, then DNATs, then VPNs and Proxies and, finally, manual Routes and manual Firewall rules, which are considered only if the automatic Routes and rules coming before hadn't already handled the traffic.

    This means, it first gets routed, checked for country blocking, NAT, VPN, proxies(thus Web filter), Firewall.
    I am not sure if this firewall includes the app control, or if it's one of the proxies.
    Maybe there's someone else who knows this.

    Kind regards,
    Frank
  • 0 in reply to FrankBarmentlo
    Thanks again, Frank!

    I experimented some time. Thought I got it working but then it does not [:(]

    Please see my screenshots with the latest changes made.
    Group "ng.allow-facebook" only contains my workstation's ip. From AC I'd say it should work as it's on top position. Unfortunately there's no entry in AC-log.

    It's all handled by web filtering proxy: 


    2015:01:09-08:51:35 mail httpproxy[29299]: id="0060" severity="info" sys="SecureWeb" sub="http" name="web request blocked, forbidden category detected" action="block" method="CONNECT" srcip="192.168.***.yyy" dstip="" user="" ad_domain="" statuscode="403" cached="0" profile="REF_HttProContaInterNetwo2 (internal network)" filteraction="REF_HttCffBlockunwan (block-unwanted)" size="0" request="0xdea72800" url="facebook.com/" referer="" error="" authtime="0" dnstime="0" cattime="76337" avscantime="0" fullreqtime="345119" device="0" auth="0" ua="" exceptions="" reason="category" category="195" reputation="trusted" categoryname="Social Networking" 


    192.168.***.yyy being my ip should be allowed? Maybe it's only some little config to be changed?

    Hope you (or s/o) can assist me.

    Rule #2

    i read that. but there's no AppControl in that flow description (or I don't know its name here).

    Cheers,
    LoD
Reply Children
No Data