Why UTM is allowing traffic when the top firewall rule is to drop for certain clients

Do you have Web Protection module enabled ?

Proxies have a higher precedence than manual firewall rules, so if you've allowed traffic via use of a proxy, the manual firewall rule will not be evaluated.  If using the Web Filtering for that host, you'll either need to block its' access in the proxy, by creating a blackhole NAT (NAT has higher precedence than proxy), or adding the host to the transparent skiplist (if using the proxy in transparent mode).

Yes, web filtering enabled.  

Can someone please refer me a doco or url that explains the difference between firewall and web filtering in UTM and their precedence? My understanding was firewall will take precedence as it is kind of packet filtering action and will have ultimate say whether allow packet or drop packet. Isn't it the function of a firewall, afterall? I am lost.


My aim is to:
1. Block certian IP all the time
2. Block certain IP some time of the day e.g. after 10:00 PM and allow limited type of trffic at other times (e.g.  block chatting etc)
3. Allow certain IP all the time with all type of web traffic.
4. Block everything else.


What is the best way to approach this?

Scott,

When i am trying to create a dnat rule (I suppose that is what you meant) with source "No Internet" and destination to "any"  change destination to "blackhole", I get the following error.

"The NAT rule object cannot use any address objects for the traffic destination attribute when using this NAT mode."

Hi, ashabc, and welcome to the User BB!

First, consult the Rulz (especially up through #5) and then ask more questions.

Cheers - Bob
PS I consider it a temporary glitch that the present version of WebAdmin won't allow "Any" even though existing rules with that work fine.

My understanding was firewall will take precedence as it is kind of packet filtering action and will have ultimate say whether allow packet or drop packet.

This is true, but for proxies to function, firewall rules are necessary.  When you enable a proxy in the UTM, automatic rules are created, which have precedence over any manually created rules.  The upshot is that the automatic rules match first, so manual rules for the same traffic won't be evaluated (if a rule matches, no further rules are evaluated).

The order of precedence is:
Country Blocking
Automatic NAT Rules
Proxies (Web, SMTP, Application Control, VPNs, etc)
Manual Firewall Rules.

Isn't it the function of a firewall, after all?

This isn't just a firewall though.  Unified Threat Management.  Multiple features tied together with a GUI, of which the firewall is only one part.

1. Block certian IP all the time

This could be handled by a combination of firewall rules, web filtering profiles, and you can even remove the gateway address from these machines.  Depends on the type of traffic.

2. Block certain IP some time of the day e.g. after 10:00 PM and allow limited type of trffic at other times (e.g. block chatting etc)

Web filter profile policies and firewall rules allow for time based settings.

3. Allow certain IP all the time with all type of web traffic.

Web filter.

4. Block everything else.  

UTM has a hidden default drop rule, evaluated last, so you're covered here.

The NAT rule object cannot use any address objects for the traffic destination attribute when using this NAT mode

As Bob says, it's a bug.  Instead of Any, try the Internet IPv4 object.

It's not clear from his comments, Scott, but I think he's trying a blackhole DNAT.  In that case, ashabc, you want the 'Going to' field to have "External (Address)" instead of Any.  Even though it should have worked with "Any" in that field, it's a good habit to use the "(Address)" objects in DNATs.

Cheers - Bob

Scott and Bob, thank you so much for your help.

I have managed to achieve my objective through the web filtering only. What I have done:

1. Default policy - Modified to block everything
2. Created a new policy - allowed standard internet clients
3. Created a limited internet policy - filter deny all traffic after 10:00 PM (in the top) and then another filter policy to allow limited category.

All seems to be working as expected.

What I noticed that the filtering does not work for range of computers, it only works for either network or host. So, i chnaged my DHCP client range accordingly.

Finally, the DNAT for any target, even if its IP v4, still throws out error. Anyway, its not required for my purpose any more as i have achieved my objective through web filtering.


Thank you for pointing me to the right direction [:)]

Hi ashabc, Scott and Bob,

It sounds like I am in somewhat of a similar position to ashabc, only I don't have any firewall/networking experience per say and a lot of the jargon is going over my head or what I find on the internet refers to older versions with different menu paths etc.   As technology increases however, I now have 33 devices permanently (static IP assigned via Sophos UTM 9.307-6 Home using MAC Addresses) connected to my home network.   These are a combination of PC's, Laptops, Tablets, Smart Phones and minor other common devices like Games Consoles and Electronic Scales etc.

I am a paranoid father [:O] at home who does not like his (I pay for it that is) internet speed being throttled back towards the end of the month because his kids have burnt through 200Gb in 25 days [:@]   I'm also concerned that they are spending too much time on their computers, iPads, mobile phones, etc. and not enough time running around the back yard.

Because of the 200Gb burn rate, I moved from a Cisco WRVS4400N router to Sophos because I researched and felt Sophos UTM would offer me some degree of Quota(ing).   I think the move is great with all the extra visibility of who is using what and how much they are using, but all the knowledge in the world is of no use if you don't know what to do with it and that is where I find myself now.

What I would like to do is (ordered in the way I think it works):
1.   Allow all IP's access to everything (working now with Categories of sites still being blocked by "the base policy").
2.   Block (or only allow limited bandwidth/download ... quota) certain IP's from accessing certain sites all the time e.g. youtube.com
3.   Block certain IP's from accessing the internet at certain times of the day e.g. blocked between 10:00 PM and 9:00 AM, but still let them use printers etc.   So the kids get a good night sleep before School.
4.   There's much more I'd like to do, like understand how Users work in Sophos and other things, but if I can get 1, 2 and 3 working I'll be happy.
N.B. I had 1. and 3. working in the Cisco, but could not get 2. working there.

Can anybody help or point me to appropriate threads (this thread was the closest I could find)?   I will probably be a bit slow because of my general lack of firewall knowledge [:$]

Can anybody help or point me to appropriate threads (this thread was the closest I could find)? I will probably be a bit slow because of my general lack of firewall knowledge

There isn't any single thread that explains how to do everything you want in simple terms as a walkthrough.  For the most part, older threads are still valid. Features have been added, some stuff has been renamed, and paths to items have changed over time, but older stuff is still in there.

Ok BlackAdder, your very first step in this process is to learn the interface.  Open up your webadmin, navigate to Web Protection > Web Filtering, now click on the blue button with a question mark in the upper right portion of the page.  Read through all of the help pages under the Web Protection area while following allong in your Webadmin.  Start with Web Protection and work your way through.  This will show you where things are at, terminology, and features available to you.  The help pages also include a glossary for looking up specific terms you don't understand.

As you read through, you'll probably begin to get an idea how to solve some of your issues yourself once you understand how Filter Profiles are assigned by IP/Host/Network, Policies (where you can set time based settings) are assigned to Profiles, and Filter Actions (where you can allow/block and set quotas) are assigned to Policies.  You'll also see how you may want to use Application Control as well for your requirements. 

Once this is done, then we can go from there and answer specific questions you may have.