Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 5212 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Network Segregation (VLAN)

silvesj
Hello!

So we recently setup two VLANS 10 & 20 on our Sophos UTM. The main purpose was for the APs so we can use both networks wherever we are in the building. 

However; even with a rule in the firewall of Net1 & Net2 - - ANY - - Net1 & Net2    we're still able to access resources on both sides of the networks. 


Not really sure what else we need to add to prevent this? And I did check this rule is at the top, so it should take precedence.


This thread was automatically locked due to age.
  • 0
    Hello!

    So we recently setup two VLANS 10 & 20 on our Sophos UTM. The main purpose was for the APs so we can use both networks wherever we are in the building. 

    However; even with a rule in the firewall of Net1 & Net2 - - ANY - - Net1 & Net2    we're still able to access resources on both sides of the networks. 


    Not really sure what else we need to add to prevent this? And I did check this rule is at the top, so it should take precedence.


    What are you trying to accomplish?  Are you trying to allow access of deny access?  If so, can you break it down, i.e. Net1 -> Alllow -> Net2 or Net1 -> Deny -> Net2?  Can you provide your current firewall rules screenshots?
  • 0 in reply to Euphrates_01
    we're still able to access resources on both sides of the networks
    You need to be more specific about what resources.  For example, if you are using the Web Proxy, this would superceed any manually configured firewall rules.  If this is the case, you would either need to create the blocks in the proxy or skip your own VLANs from the proxy, so that the manually created firewall rules take effect.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I'm trying to DENY access between the 2 vlans. We do use all features/functions of the UTM.
  • 0
    You might be interested in a document I maintain that I make available to User BB members, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this, click on my name beside the Cyrano avatar and send me an email requesting it.  I also maintain a version auf Deutsch translated by fellow member hallowach when he and I did a major revision in 2013.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    A lot of solutions would not exist if Bob would not maintain these documents and pass them on to us ignorant. Thanks for that! [;)]
  • 0 in reply to silvesj
    I'm trying to DENY access between the 2 vlans. We do use all features/functions of the UTM.


    Wow! I've never seen anyone who uses really all features...

    You have to explain further what you mean with "access". SMB? Ping? HTTP?
    Is all this possible currently?
    Also have a look at Rulz, especially #2.

    ----------
    Sophos user, admin and reseller.
    Private Setup:

    • XG: HPE DL20 Gen9 (Core i3-7300, 8GB RAM, 120GB SSD) | XG 18.0 (Home License) with: Web Protection, Site-to-Site-VPN (IPSec, RED-Tunnel), Remote Access (SSL, HTML5)
    • UTM: 2 vCPUs, 2GB RAM, 50GB vHDD, 2 vNICs on vServer (KVM) | UTM 9.7 (Home License) with: Email Protection, Webserver Protection, RED-Tunnel (server)
  • 0 in reply to scorpionking
    We use everything from the SPAM filtering, to reds, SSL VPN, etc, etc. 

    We had a Sophos Tech remote in and take a look, he finally got traffic to stop between the 2 networks.... in the same process preventing all traffic out from the 2nd network! 

    So we had to revert to a backup, and he's yet to get back to us..... 3 weeks later. BUT we're still trying :\
  • 0
    scorpionking I have review those rulez before. And I've re-traced Rule 2 again and still do not see anything that is getting in the way.
  • 0
    Please consider: If you use WebFilter in Default Settings and Profile all http/https... traffic will be processed before any Firewall rule applies.

    So please check in Webfilter -> Advanced -> "Skip Destination Networks from transparent mode" if you have specified your 2 vlans there. otherwise webfilter module will Proxy the Connection request
Unfiltered HTML