Why UTM is allowing traffic when the top firewall rule is to drop for certain clients

It's not clear from his comments, Scott, but I think he's trying a blackhole DNAT.  In that case, ashabc, you want the 'Going to' field to have "External (Address)" instead of Any.  Even though it should have worked with "Any" in that field, it's a good habit to use the "(Address)" objects in DNATs.

Cheers - Bob

It's not clear from his comments, Scott, but I think he's trying a blackhole DNAT.  In that case, ashabc, you want the 'Going to' field to have "External (Address)" instead of Any.  Even though it should have worked with "Any" in that field, it's a good habit to use the "(Address)" objects in DNATs.

Cheers - Bob

Scott and Bob, thank you so much for your help.

I have managed to achieve my objective through the web filtering only. What I have done:

1. Default policy - Modified to block everything
2. Created a new policy - allowed standard internet clients
3. Created a limited internet policy - filter deny all traffic after 10:00 PM (in the top) and then another filter policy to allow limited category.

All seems to be working as expected.

What I noticed that the filtering does not work for range of computers, it only works for either network or host. So, i chnaged my DHCP client range accordingly.

Finally, the DNAT for any target, even if its IP v4, still throws out error. Anyway, its not required for my purpose any more as i have achieved my objective through web filtering.


Thank you for pointing me to the right direction [:)]

Hi ashabc, Scott and Bob,

It sounds like I am in somewhat of a similar position to ashabc, only I don't have any firewall/networking experience per say and a lot of the jargon is going over my head or what I find on the internet refers to older versions with different menu paths etc.   As technology increases however, I now have 33 devices permanently (static IP assigned via Sophos UTM 9.307-6 Home using MAC Addresses) connected to my home network.   These are a combination of PC's, Laptops, Tablets, Smart Phones and minor other common devices like Games Consoles and Electronic Scales etc.

I am a paranoid father [:O] at home who does not like his (I pay for it that is) internet speed being throttled back towards the end of the month because his kids have burnt through 200Gb in 25 days [:@]   I'm also concerned that they are spending too much time on their computers, iPads, mobile phones, etc. and not enough time running around the back yard.

Because of the 200Gb burn rate, I moved from a Cisco WRVS4400N router to Sophos because I researched and felt Sophos UTM would offer me some degree of Quota(ing).   I think the move is great with all the extra visibility of who is using what and how much they are using, but all the knowledge in the world is of no use if you don't know what to do with it and that is where I find myself now.

What I would like to do is (ordered in the way I think it works):
1.   Allow all IP's access to everything (working now with Categories of sites still being blocked by "the base policy").
2.   Block (or only allow limited bandwidth/download ... quota) certain IP's from accessing certain sites all the time e.g. youtube.com
3.   Block certain IP's from accessing the internet at certain times of the day e.g. blocked between 10:00 PM and 9:00 AM, but still let them use printers etc.   So the kids get a good night sleep before School.
4.   There's much more I'd like to do, like understand how Users work in Sophos and other things, but if I can get 1, 2 and 3 working I'll be happy.
N.B. I had 1. and 3. working in the Cisco, but could not get 2. working there.

Can anybody help or point me to appropriate threads (this thread was the closest I could find)?   I will probably be a bit slow because of my general lack of firewall knowledge [:$]