guest network can access all internal http servers

Hi, there is a behaviour I can explain to myself but it is not a very secure implementation of webfiltering.

Setup:
We use webfiltering for a guest wifi networt. It runs in transparent mode with https url filtering only. The UTM acts as DNS/DHCP Server for the guest network and can resolve dns names of our internal networks DNS to resolve hostnames in reports etc. There are NO manual firewall rules made for our guest wifi network.

Problem:
Anyone in the guest wifi can access all http/https pages in our internal and management networks. There is no rule where I can specify that the webfiltering should only be valid for external internet addresses. It delivers webpages from other interfaces (internal and management) to the guest network users too.

Solution:
The only soultion I found was setting up firewall rules that denys the utm guest network interface address to enter the internal and mangement networks. Maybe someone can give me a better way to do that!

PS: Happy Easter!
  • In web protection on the Advanced tab you could add the Internal network to the "Transparent mode skip List" under "skip transparent mode destinations hosts/nets". Make sure "Allow HTTP/S traffic for listed hosts/nets" is unchecked and then create a firewall rule to drop traffic with a source of guest network and destination internal network.
  • ah cool :-) thx!
  • In reply to samy_01:

    "Web Protection" > "Filtering Options" > "Misc" is where the "Skip transparent mode destination hosts/nets" and "Allow HTTP/S traffic for listed hosts/nets" options are found.

    In my situation I have quite  few networks coming into the UTM so I had to define all the networks that are internal to ensure HTTP/S management of devices was only allowed by specific users/IP ranges to talk across to the other networks.