This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Country Blocking Problem - Why are these e-mail connections being dropped / blocked?

Something is not working correctly with GEOIP Country Blocking and CB Exceptions in v.9.1.

The attached firewall log shows that e-mail packets are being dropped due to Country Blocking GEOIP restrictions on this Sophos 9.1 box. My understanding is that this should not be happening based on #1 and #2 below.

1. Country Blocking is enabled for all countries with a setting of [FROM], except for two countries which are both turned [OFF].

2. A Country Blocking Exception for all SMTP email is enabled for all countries (except same two listed on #1 above) with the settings [COMING FROM] [ANY] Host or Network to [SMTP 25].

***Edit: the settings above in #2 do not work correctly.  See the correct settings further down the page.

The small portion of the firewall log (attached file) shows some example email packets that should be allowed by #2 above. There are actually many more.  You can see that the log says it's specifically due to GEOIP restrictions.  (Note that the IP, MAC and inbound Ports have been changed)

Question: Why are these packets being dropped for GEOIP Country Blocking?  Is this a bug?


This thread was automatically locked due to age.
  • Gents here this is my suggestion in preentscreen

    Yes, Oldeda was nice enough to test with me, and his suggestion is exactly correct.

    Be aware, it's a little confusing because Sophos has very similar terminology in Country Blocking, and Country Blocking Exceptions, but with different meanings.

    Oldeda followed the logic path, and that led to the right answer.

    Thank you Oldeda!
  • Happy to help with real tests Eganders and proud to protect what I still love to call "Astaro" [:)]
    Our test showed that webadmin stands before anything, and in webadmin settings I can't find some old settings like, "never block this network" or "block for this time"
  • Happy to help with real tests Eganders and proud to protect what I still love to call "Astaro" [:)]
    Our test showed that webadmin stands before anything, and in webadmin settings I can't find some old settings like, "never block this network" or "block for this time"

    Definitions & Users | Authentication Servers | Advanced (Tab) ?
  • This is new think that i missed in 9.1. Thanks
  • Dear,

    Sophos UTM 9.100-16

    Reopening this thread : 
    1) oldeda, why the 'Service Exeption is only for your Internal Hosts' ?
    2) Like eganders I would like to kill/drop in front, based on geoip, inbound connections from all/some countries except from some net/sub using service...
  • Enganders wanted to block all from/ and allow some or all only for smtp, to receive emails from any country allowed from him
    mydomain.com have to contact engaders.com on port 25 (smtp)
    Here is a blocket country mydomain.com Ip and the destination is enganders wan ip. The last atachment from enganders is the logic
    Explain in long way what you want to do [:)]
  • LOL it seems like I am a little late for the party here on if there is a bug in the Country exception or if there was a misconfiguration.

    I too am using the thought process of block all (countries) and allow some.

    I created a rule that would allow port 25 (smtp) traffic from Canada.
    Yet, port 25 is still being blocked.

    Here is my setup briefly...
    Firewall>>Country Blocking>> All traffic is blocked FROM Cananda.
    Firewall>>Country Blocking Exceptions>> Skip Blocking>> Canada>> Any>> Smtp & Smtp SSL

    But emails are still being blocked.
  • For Inbound initiated connections, such as email, try these settings in your Country Blocking Exceptions:
    1. Pick the countries you want to allow.
    2. Choose "Going To These"  (NOT "Coming From These")
    3. Add 2 entries - Your External (WAN side) IP on the Sophos UTM, and the Inside (LAN) IP of your Mailserver
    4. Add your ports - SMTP, SMTP SSL and maybe SMTP StartTLS
  • This won't be fixed in 9.1:
    ID25952 9.100 Country blocking exception doesn't work
    ------------------------------------------------------------------------
    Description:
    Workaround:   - Don't use country blocking
                  - Don't use random IP addresses for internal/ras networks
                  - Don't use country blocking
    Fixed in:     9.155

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • This won't be fixed in 9.1


    Hmmm.  It's working for me Bob.  I wonder if that fix isn't a reference to the outbound initiated country blocking exceptions problem.  The inbound initiated connections have been working, as far as I know.  We've continued to use them without issue.