Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 9672 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Protection Blocking All Traffic

ltdowntown
Hello!  I'm testing UTM 9.3 in full transparent mode with no authentication (first time using Sophos).  I have UTM set up as a VM sitting between two virtual switches "internal" and "external."  "External" connects to the LAN of my network.  "Internal" has only a test Windows machine on the same subnet as my LAN, which is forced to send all traffic through the UTM.  The UTM has three network interfaces.  One is used for management, and two interfaces are bridged, with one interface on "internal" and one on "external."

I have an ANY/ANY firewall rule, allowing all traffic to pass.  In this configuration, everything works.  My main testing revolves around Web Protection and Web Reporting.  Web Protection is set to pass all, but log activity.  When I enable Web Protection with Allowed Networks of "Any," I am not able to reach the internet.  However, I am able to ping to the internet and resolve DNS queries. The live log shows my requests from my test Windows machine, and even recognizes forbidden URL requests.

If I remove "Any" from Allowed Networks and replace it with "Bridge (Network)," I am able to reach the internet from my test Windows machine.  Unfortunately, with "Any," the live log does not show my requests, and I'm able to reach blocked websites.  No traffic is logged.

I have attempted to configure a single host with just the IP address of my Windows machine, but I still can't reach the internet, even though the live log shows the requests.  

What am I missing?  [:S]

Thanks in advance for any suggestions you can provide.


This thread was automatically locked due to age.
  • 0
    Make sure that Web Protection is configured in Transparent Mode.  If you are using a Bridge you can also do Full Transparent Mode, though the setup is a little more complicated.

    When you change the Allowed Networks to Bridge (Network) it no longer applies to your traffic, meaning it falls back to using the firewall rule (same as turning off web filtering altogether).
  • 0 in reply to Michael Dunn
    Hello and thank you for your response!  I am using UTM in Bridge mode and I have it configured for Full Transparent Mode.
  • 0
    I have *exactly* the same problem, although I use a physical computer instead of a virtual machine.

    If I set up the Web Protection as Standard mode and I put the IP and 8080 as proxy, everything works as expected. But if I use the transparent or full transparent mode, all the HTTP traffic is blocked although the log shows that the requests are accepted/denied properly.

    This is driving me crazy, and I cannot understand what is wrong. I'd appreciate any help on this issue.
  • 0
    Hi, Fernando, and welcome to the User BB!

    the log shows that the requests are accepted/denied properly.

    Please show us one or two of those log lines.  Also, check #1 in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I am having the same exact problem.  Setup system using wizard, and then created bridge interface between internal network and Internet.  I setup Web Filtering in Full Transparent mode with no authentication.  With Web Filtering off, I can get to any sites without any problem.  Once I turn on Filtering, I cannot get to any site, most with the message "Connection to Server Timed Out".

    I left Web Filtering on , then turned of HTTPS filtering, and was able to then get to simply HTTPS sites -- but still blocked to HTTP sites.  Here's an example of the Web Filtering log:

    2015:08:18-22:01:53 sophos httpproxy[5811]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="HEAD" srcip="192.168.1.7" dstip="191.234.4.50" user="" ad_domain="" statuscode="504" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x10fd3000" url="au.download.windowsupdate.com/.../Hardware"

    Clearly shows "web request blocked", but from where.  I have verified multiple times that there's no block filter in place.  All I am looking to do is log browsing history.  For reference, I'm using Firmware version: 9.315-2, Pattern version: 86287
  • 0
    Hi, and welcome to the User BB!

    Statuscode="504" means that the server did not like the proxy.  I have no problem with this here, so it must be your configuration/topology.  I wish I had an idea of what could be causing this.  The only thing I can think of is burning the ISO to a new CD at a speed of 4x or less and then re-installing from scratch.  Hopefully, someone else here has an idea.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I'm getting the same problem too. The UTM has been placed between a switch and an ASA using an Ethernet bridge. All the traffic goes through OK until Web Protection is switched on and then no http or https traffic is passed. After switching it back off, it goes through OK. I followed the instructions in this article:
    https://www.sophos.com/en-us/support/knowledgebase/119360.aspx
    (apart from giving the application control part)

    Here's the web protection log:

    2015:08:24-09:07:01 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="main" file="httpproxy.c" line="271" message="reading configuration"
    2015:08:24-09:07:01 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="parse_address" file="util.c" line="464" message="getaddrinfo: passthrough6.fw-notify.net: Name or service not known"
    2015:08:24-09:07:01 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="confd_config_filter" file="confd-client.c" line="3545" message="failed to resolve passthrough6.fw-notify.net, using 2a01:198:200:680::8080"
    2015:08:24-09:07:02 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="main" file="httpproxy.c" line="295" message="caching templates"
    2015:08:24-09:07:02 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="main" file="httpproxy.c" line="298" message="reading profiles"
    2015:08:24-09:07:02 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="scanner_init" file="aptpscanner.c" line="173" message="ATP unavailable"
    2015:08:24-09:07:36 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="scanner_init" file="saviscanner.c" line="371" message="Successfully loaded SAVI threat data, engine 3.61.0, threat data 5.17 from 21/7/2015 (9570220 detected threats)"
    2015:08:24-09:07:37 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="main" file="httpproxy.c" line="337" message="notifiying argos daemon
    2015:08:24-09:07:37 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="argos_notify" file="httpproxy.c" line="199" message="connect: Connection refused"
    2015:08:24-09:07:37 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="main" file="httpproxy.c" line="343" message="finished startup"
    2015:08:24-09:07:37 opsfltr01 httpproxy[17660]: Integrated HTTP-Proxy (c) 2007-2015 Sophos Ltd, Release 182.ge50f432
    2015:08:24-09:07:37 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="confd_config_reload_func" file="confd-client.c" line="580" message="reloading config"
    2015:08:24-09:07:37 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="parse_address" file="util.c" line="464" message="getaddrinfo: passthrough6.fw-notify.net: Name or service not known"
    2015:08:24-09:07:37 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="confd_config_filter" file="confd-client.c" line="3545" message="failed to resolve passthrough6.fw-notify.net, using 2a01:198:200:680::8080"
    2015:08:24-09:07:39 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="confd_config_reload_func" file="confd-client.c" line="636" message="reloading config done, new version 38"
    2015:08:24-09:07:58 opsfltr01 URID[17593]: T=17593 ------ 2   - Warning: EARLY TIMEOUT: dns context 0 has 5832 ms before it should time out\n
    2015:08:24-09:08:57 opsfltr01 URID[17593]: T=17593 ------ 2   - Warning: EARLY TIMEOUT: dns context 1 has 5993 ms before it should time out\n
    2015:08:24-09:09:32 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="confd_config_reload_func" file="confd-client.c" line="580" message="reloading config"
    2015:08:24-09:09:32 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="parse_address" file="util.c" line="464" message="getaddrinfo: passthrough6.fw-notify.net: Name or service not known"
    2015:08:24-09:09:32 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="confd_config_filter" file="confd-client.c" line="3545" message="failed to resolve passthrough6.fw-notify.net, using 2a01:198:200:680::8080"
    2015:08:24-09:09:32 opsfltr01 URID[17593]: T=17593 ------ 1 - [exit] SIGTERM: exiting
    2015:08:24-09:09:34 opsfltr01 httpproxy[17660]: id="0003" severity="info" sys="SecureWeb" sub="http" request="(nil)" function="confd_config_reload_func" file="confd-client.c" line="636" message="reloading config done, new version 39"

    I've logged a call with Sophos Support for it.
    Thanks.
  • 0
    Most of that is severity="info" and just represents what I bet was the programmer forgetting to switch off debug before compiling.  The two lines that are concerning are the ones with Warning: EARLY TIMEOUT: dns context.  I would check your DNS configuration and confirm that there's a default gateway on the bridged interface.

    If those are OK, tell us what version - 9.315?  If this was working before a recent Up2Date, try restoring the config backup prior to the Up2Date.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I'm thinking this may be a version problem.  I reloaded the whole system and it was working fine (9.314-13), then overnight, the system updated to 9.315-02 and stopped working -- same issue no web traffic with the filtering turned on.  Tonight I will take the backup config, reload 9.314 and validate that is the issue.  

    tried to find any info on possible bugs in 9.315, but did not see any regarding full transparent mode.
  • 0
    Again, "try restoring the config backup prior to the Up2Date."  If that doesn't resolve the issue, try a reboot.  Any luck?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML