Country blocking exception not working

I'm running Firmware version: 9.303-2. I have Country Blocking turned on to some  countries, one of which is Netherlands.

When I try to go to: Yellow Bricks

I get this error:
Content blocked
While trying to retrieve the URL: Yellow Bricks
The content is blocked due to the following condition:
The URL you have requested matches a forbidden Country. If you think this is wrong, please contact your administrator.
Country: Netherlands

I went to "Country Blocking Exceptions" and created a an exception called "Whitelist"

It says its set to:

skip blocking of these countries:
    [Netherlands] Netherlands
for traffic going to these destination networks:
    Whitelist 1
    Whitelist 2
    Whitelist 3
Using these services:
    Any

For the three networks, I've tried three things:

Name: Whitelist 1
Type: DNS Host
Hostname: Yellow Bricks


Name: Whitelist 2
Type: DNS Host
Hostname: yellow-bricks.com


Name: Whitelist 3
Type: Network
IPV4 address: 109.237.219.143 /32


None of them work. 

If I tell the country blocking list to allow Netherlands, it lets me access the site.


Any ideas?

Thanks!

Arch
  • Hi, Arch and welcome to the User BB!

    Please click on [Go Advanced] below and attach pictures of the three network definitions all open in Edit with 'Advanced' settings visible.

    What's the reason for blocking traffic to the Netherlands?

    Cheers - Bob
  • Hi Bob:


    I hope I'm attaching these pictures correctly!

    There was no particular reason for blocking traffic to the Netherlands. I was testing out the country blocking portion and it got picked with a bunch of others.

    Arch
  • Let me save you some time, don't bother troubleshooting anymore, it's not you, it's Sophos' developers' not caring to fix it. I'm highly upset about this along with many others I am sure. Look at the post date on this...

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/p/41418/145428#145428

    And YES it is STILL BROKEN on the latest builds!
  • Ohhhh...thanks!! I thought I was doing something wrong. I guess I'll hold off buying t for now as this was one of the features I liked.
  • In reply to ArchParks:

    Can't say I blame you, I was on the fence over this one as well for 2 reasons.

    1. It's a feature I've wanted for a long long time, I was able to import CIDR blocks in my last firewall but it was tedious keeping up with the updates, so having this process automated is very appealing, IF it actually works.

    2. Lack of response from developers on this is indicative of a much bigger problem. If you're going to have a feature and sell it, then it kinda needs to actually work (I'm crazy like that). If developers don't care to fix "known issues" on highly visible functions like this, then it doesn't exactly make end users want to rush out and buy "premium" support.

    I went ahead and purchased the units but opted for standard support, because it's much cheaper. Not fixing these issues is costing them real money, I had fully intended on purchasing premium support and already had it approved from my superiors. I downgraded support because of this. I'm hoping to see improvement in their response time to these issues, but I'm not holding my breath.
  • Hi, please open support cases about this; the last I'd seen was that it was being fixed for 9.3.

    Barry
  • In reply to BarryG:

    Barry,

    I've got one open and have been trying their workarounds, so far still not working. I will update this thread as I receive more info.

    I know I come across as very negative on this product. Actually, I'm blown away with it's capabilities and think it must have been an excellent UTM to begin with, or Sophos wouldn't have acquired it. My frustration is coming across this technology and then finding out the upkeep by it's new landlord appears to be sorely lacking. Bittersweet. I want this software to improve and am now invested in it doing so.

    I am hoping Sophos management will give the developers and engineers the resources they need to make this thing the gold standard for security appliances.

    For this particular issue though, this is just a GUI for some IP Tables and I'm puzzled why something as simple as saying "block these ranges EXCEPT for this IP" is so difficult for the developers to implement. It does make me question their capabilities.
  • Can confirm that this feature still does not work under firmware version 9.304-9.
  • tms5d, thanks for updating us on this. I haven't updated yet, case is still open and any news I receive I will post here.
  • Update: This has been escalated for whatever that is worth. Bug ID29981 was assigned back on 9.1 with no workaround listed (for those of us who would like to track). The good news is after a couple of failed workaround attempts offered by dev to engineer to me, they have now figured out a workaround that actually "works"...

    1. Definitions & Users -> Network Definitions -> create Host (IP) or DNS Host (Url) for desired exception

    2. Network Protection -> Firewall -> Country Blocking Exceptions -> create your desired exception
     - must leave Skip blocking of these: BLANK
     - must set For all request: going to these
     - add your desired exception Host (IP) or DNS Host (Url) to Host/Networks
     - Save

    3. Web Protection -> Filtering Options -> Misc -> Transparent mode skiplist -> add Host (IP) or DNS Host (Url) to Skip transparent mode destination hosts/nets -> Apply

    UPDATED OBSERVATIONS 9.305-4!
     - After making above settings, sometimes exceptions don't "take" until you toggle that Country in Country Blocking to OFF (Apply) then back to ALL (Apply). I had to do this on a few of mine to get them to work.
     - Watch out when creating DNS Host, example.com might resolve to a different IP than it does with www added onto beginning or url.

    -----------
    The above is working for me in my scenario (transparent). There is also somewhere else on the client that must be set for those running standard mode, but I'm not familiar with that. If someone could chime in on clear instructions for that part it would be most appreciated. Here is that part of their instruction with portion I am unsure of marked in bold:

    "Add site to proxy transparent destination bypass list & browser proxy exceptions list (if using standard mode)"
  • In reply to GetParanoid:

    9.309-3 has same problem. I create the rule many different ways as per the comments on the bulletin and still nothing. Only fix is to block FROM China.
  • I opened ANOTHER case on this under a different angle. The workaround does work but it breaks OVERRIDES. For whatever reason, this seemed to actually matter enough to make it up the chain.

    It has once again been confirmed as a bug and I am now being told that this issue will be addressed in 9.312 probably around May.
  • In reply to GetParanoid:

    I opened ANOTHER case on this under a different angle. The workaround does work but it breaks OVERRIDES. For whatever reason, this seemed to actually matter enough to make it up the chain.

    It has once again been confirmed as a bug and I am now being told that this issue will be addressed in 9.312 probably around May.


    thanks for the update
  • This appears to still be an issue with version 9.312-8. I added a DNS group to my block exceptions and it was still blocked. I had to toggle the Country block on and off a few times as well as the exception rule. Then it kicked in. 

    This is surprising to me! Surprise Why is this still not fixed? Turning off the country blocking, even for a few seconds, during end user use is not a good thing! It should never have to be turned of for maximum protection.

    Has anyone heard anything new since April?

    ------------Update-------------
    I am unable to get this working in my new build.

    I have it set up like this:

    Skip blocking of all regions
    For all request GOING TO THESE
    Block Exceptions Network Group  
    For HTTP and HTTPS

    I even tired it with nothing checked in the countries, as suggested.
    I then tired it with a single DNS group for urlquery.net in the going to these.

    No joy. Is there a plan to fix this? I hate to go back to CIDR blocks...

    C68