This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Publishing Webserver with Sophos UTM

Hello. 

We had an old ISA Server from Microsoft to publish our Servers and replaced it now with a Sophos UTM. I’m not really a firewall professional, so I thought maybe there is someone in this forum who can take a look at my configuration and give me some advice if I did something wrong. Thanks in advance. 

In the DMZ we have a server for our websites. 

Definitions

In Interface and Routing I have an Interface DMZ and in Definitions & Users there are the three Definitions DMZ (Address), DMZ (Broadcast) and DMZ (Network).

Web Application Firewall

In Real Webservers there is my webserver with port 80 and in Virtual Webservers there is my webserver with all the corresponding domains and the Firewall Profile Basic Protection. 

Intrusion Prevention

I’m not sure if that is correct, but I added the DMZ (Network) to the Local networks, so the Intrusion Prevention is working for my webserver. 

NAT

I don't know if NAT is required if you publish a webserver over the web application firewall but it didn’t work before I enabled it. So I made a masquerading rule from DMZ to one of the external interfaces and one from DMZ to the Internal Interface.
 
Firewall

I enabled two firewall rules. One is from the internal network to the webserver with the services for administrating the webserver with putty over ssh and over a defined port to the installed webmin. The second rule is from the webserver to Internet IPv4 with the services DNS NTP HTTP HTTPS ping and SMTP, so the webserver can get his updates from his repositories and can send Mails from his web forms. 

I hope, I didn’t made something wrong and we’re safe. But I would feel more comfortable if someone of you could confirm this. Thanks.


This thread was automatically locked due to age.
  • Hi, and welcome to the User BB!

    So I made a masquerading rule from DMZ to one of the external interfaces and one from DMZ to the Internal Interface.

    WebAdmin automatically creates routes between subnets created by defining Interfaces, so the masq rule DMZ->Internal is unnecessary.

    Everything else looks correct.  Since the UTM is new to you, I suggest you read https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob

    Thank you for your response and for taking the time to look at my configuration. I disabled and then deleted the masquerading rule from DMZ to the internal network and everything works like before. 
    I read your rulz and here again thank you for your work. 
    Maybe these settings are also interesting for others who are new with sophos utm. I documented them in my blog (I'm afraid, it is in german) Webserver über Sophos UTM veröffentlichen | ictschule

    Thanks Christian
  • Maybe these settings are also interesting for others who are new with sophos utm. I documented them in my blog (I'm afraid, it is in german) Webserver über Sophos UTM veröffentlichen | ictschule

    Christian, ich gebe zu dass ich Deutsch spreche, but I believe that your blog post about publishing a webserver with WAF is so clearly illustrated that it will be helpful to anyone that knows enough English to read your screen captures.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Christian, ich gebe zu dass ich Deutsch spreche

    And I'm struggling so much to get some sentences in English...

    I found a setting that I forgot to mention and I'm not sure if it's necessary. Under NAT I have a DNAT rule for traffic from: any, using Service: HTTP, going to: one of the external network addresses, change the destination to: webserver host. 

    If I disable this rule, the websites don’t work anymore, so it looks like it is needed. But I thought I can use either WAF or a DNAT rule. At the moment it looks like I need both of them. For publishing Exchange over WAF I didn’t need a DNAT rule, so I’m not sure, if I did something wrong with this one.
  • The DNAT will capture traffic before it gets to the reverse proxy. With it in place, you effectively prevent WAF from handling the packets. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  •  The DNAT will capture traffic before it gets to the reverse proxy. With it in place, you effectively prevent WAF from handling the packets.  

    Thanks Bob, I was suspecting that. It was a misconfiguration of the virtual webserver. At the interface I took the DMZ (where the traffic should go to) instead of the external Address (where the WAF should listen). But thanks to your help, it’s working now over WAF like desired.