[BUG][9.101]help needed setting up country block exception

Barry, to make an exception for www.astaro.org, you would check the box for Germany, use a DNS Host definition for the FQDN in the 'Host/Networks' and drag HTTP, HTTPS and HTTP Proxy into 'Services'.

Did that work for you?

Cheers - Bob

I'm doing some testing myself on it, and I'm finding that it's not what I was expecting.  I'm also wondering if it's all working correctly.  One thing in particular, Sophos should rework the syntax (and the help file) to more clearly indicate the direction of the connection, and what you can and cannot accomplish here.

I've been testing with RDP connections, and am now moving on to inbound email connections.  They might be different, I believe, due to the email proxy?  Not sure about that yet.

For RDP connections, I found out the following:

1. List the country

2.a. If you want to allow people in foreign country X to initiate the connection to your "inside the firewall" computer, then select "Going To These" and insert your computer - in other words the RDP host computer (not the interface) would be listed here.

2.b. Since you appear to be initiating the connection outwards, to a computer in a foreign country, you would use the "Coming From These" choice, and list the computer you want to come from - the one inside your firewall, for your outbound excursion.

3. List the service(s) you want to use.  Note: If you are doing NAT (for which you will need an entry in the NAT table) and changing ports, you will need a definition that includes the port your host computer is using here - not the port the firewall is using.

I'm now testing email, and it's a bit confusing too.  I'll post more later.

now moving on to inbound email connections. They might be different, I believe, due to the email proxy? Not sure about that yet.

Although there was a bug in early V9 that failed to apply Country Blocking before proxies, 9.006-5 and later have fixed that problem.

In the example I gave for www.astaro.org, you would chose "going to these" - it just depends on your goal.  I like eganders' idea to allow all traffic from your PC better though.

Cheers - Bob

Ok I didn't exactly that and even used your example of block Germany so I can't get to www.astaro.org.  I keyed in the exception just like you said and still get block due to Germany.

I also tried saying coming from these and used my whole vlan and still no go.

only way I can get it to work in change in the country blocking to say from.  Any other ideas to try.

Exceptions seem to be broken. I setup an exception like the screenshot below after blocking all to Germany but all the traffic is blocked

2013:06:24-13:19:08 gatekeeper httpproxy[28993]: id="0067" severity="info" sys="SecureWeb" sub="http" name="web request blocked, connection to forbidden country" action="block" method="GET" srcip="192.168.0.10" dstip="" user="" statuscode="403" cached="0" profile="REF_HttProAvDisabled (Av Disabled)" filteraction="REF_HttCffAvDisabled (AV Disabled)" size="2967" request="0xcb846b8" url="http://www.astaro.com/elqNow/elqCfg.js" exceptions="" error="" country="Germany"

...Although there was a bug in early V9 that failed to apply Country Blocking before proxies, 9.006-5 and later have fixed that problem....

Intersting... I wasn't aware of that... I only use country blocking for controlling spam and I always have SMTP in my top 10 dropped services. I can collaborate that with logs although I think the log said country block instead of GEOIP before. Sadly, I don't have any logs from before 9.1

/var/log/packetfilter/2013/06/packetfilter-2013-06-23.log.gz:2013:06:23-16:15:09 gatekeeper ulogd[4568]: id="2021" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped (GEOIP)" action="drop" fwrule="60019" initf="eth0" srcmac="0:e0:98:96:37:8f" dstmac="0:*:*:*:*:*" srcip="177.20.146.24" dstip="*.*.*.*" proto="6" length="60" tos="0x00" prec="0x00" ttl="44" srcport="51212" dstport="25" tcpflags="SYN"

I agree, Bill - it's not soup yet!  Hopefully, this will get into the GA of 9.102.

Cheers - Bob

I agree, Bill - it's not soup yet!  Hopefully, this will get into the GA of 9.102.

According to support, Country Blocking Exceptions not working for outbound initiated connections (from your Sophos to a foreign country), is a known issue.  I'm not sure which release track the fix is scheduled to be on.

Billybob your exception is useless and confuses the UTM 
You checked "all" for Germany Country Blocking and the exception is just against that! 
We can discuss who will win, and I will bet for "Deny" first
Exception can be configured for particular hosts/groups or services
For Service "Any" you must define a host not a network

According to support, Country Blocking Exceptions not working for outbound initiated connections (from your Sophos to a foreign country), is a known issue.  I'm not sure which release track the fix is scheduled to be on.

 
I tried to configure an outbound exception but I cannot get it to work. I'm on version 9.105-9.
 
Presumably, this is still not fixed?

From the V9 KIL, it appears that this will be fixed in 9.2:

ID25952 9.100 Country blocking exception doesn't work
------------------------------------------------------------------------
Description:
Workaround:   - Don't use country blocking
              - Don't use random IP addresses for internal/ras networks
              - Don't use country blocking
Fixed in:     9.155

Cheers - Bob