Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 1 subscriber
  • Views 42422 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Blocking intermet access during a time frame

gcraenen
Hello,

I'm new to the Sophos UTM and trying to find howto block internet access for certain devices on the network in a time period. I can identify them by IP address and mac address. Have created a network list with hese devices.

After that created a web filter profile, put the network list in allowed networks and added a policy (no user and based on the default content filter block action) and a time event schedule.

After saving all this and enabling it, the blocking works partly but:

1. It blocks traffic all the time for the devices in the network list without regards for the time event schedule. So seems that it doesn't look at the event schedule at all.
2. Someone on the blocked devices is getting a blocking screen and the option to overide this after logging in with a user account. I don't want to offer the option to overide this, so how can I disable this?
3. Several messaging applications like whatsapp are working, regardless of the blocking rules in webfiltering. So it looks like webfiltering is not blocking everything at all? How can I accomplish this?


This thread was automatically locked due to age.
  • 0
    After some testing I found a solution for the first question. When creating a new web filter profile and adding a new policy, the base policy that's automatically added as base policy is de default content block policy. So no matter what you set in the time event, it always blocks traffic.
  • 0
    Correct, you just needed to add a second Policy for the times outside the first one.

    Let me put that differently in a way that applies to many things in WebAdmin.  In all ordered lists, put the item that applies to an entire group beneath items that apply to specific members or sub-groups of the group.

    Cheers - Bob
    PS As a newbie here, you wouldn't know that one of our unwritten rules is "one topic per thread."  This makes it easier for folks with a similar question to find answers without having to repeat the same question.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Ok, thanks. I'm still confused though. When I try the webfilter rule in policy helper it states that surfing to for instance youtube.com is blocked. But when I actualy try that on the device itself with the same ip addr. I can still surf to youtube.com and use that?
  • 0
    Do you still have that in the Transparent mode Skiplist?  If not, then show the line from the Web Filtering log file where the access was passed and the expression you think should have blocked it.   

    Cheers - Bob  

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,

    I do not have the devices list in any skip list. What I have done is created a new web fliter profile "block devices xyz". In that profile added a network list with the devices in "allowed networks" and in transparant mode. Enabled "do not proxy https in transparant mode", because that option gives all my clients a lot of problems with certificates.

    In the profiles tab (of the new web filter profile), created a new profile "block time" with a time event and filter action "default content filter block action". Then changed the base policy to "default content filter action".

    Saved and enabled this new webfilter profile. After that I had to disable the block time policy I just created in the webfiltering page under tab profiles. I find that very strange, why is a policy that I created inside a new web filter profile and made just for that profile added to the overall default web filter as a policy and enabled?? That doesn't sound logical.

    I must say that this way of working takes some getting used to. Wouldn't it be easier to let firewall rules take precedence in the process before web filtering?

    Anyway, this does not seem to work. On the blocked clients I can do anything like before and nothing is blocked at all. When I test things in policy helper it gives that things should be blocked.

    Do you still have that in the Transparent mode Skiplist?  If not, then show the line from the Web Filtering log file where the access was passed and the expression you think should have blocked it.   

    Cheers - Bob  

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    why is a policy that I created inside a new web filter profile and made just for that profile added to the overall default web filter as a policy and enabled

    Policies are available across all Profiles, but I've never seen one activated in other Profiles when activated in one.

    Anyway, this does not seem to work.

    It definitely works, but without "the line from the Web Filtering log file where the access was passed and the expression you think should have blocked it," we can't guess what question you didn't ask about the configuration.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Yes, off course.

    Just opened the web filtering log and wow there is lot. I don't really know how the find anything in there. I guess I first have to find out how make this "wave of lines" more humanly readable [:)] with the help of some tooling.

    So to make it more precise, you're looking for lines with the src address of the client where access should be blocked, but is actually going through?

    How can I recognise the last part of this in the log, is there a keyword I can use to search on next to srcip=x.x.x.x?

    Policies are available across all Profiles, but I've never seen one activated in other Profiles when activated in one.


    It definitely works, but without "the line from the Web Filtering log file where the access was passed and the expression you think should have blocked it," we can't guess what question you didn't ask about the configuration.

    Cheers - Bob
  • 0
    In 'Logging & Reporting >> View Log Files', use the 'Search' tab.  Another easy thing to do is to start the Web Filtering Live Log, try the access and immediately deselect 'Autoscroll' at the top of the Live Log so that the line you want is still in front of you.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    With the Live Log, there is also a filter.  It accepts simple string text, such as a URL, username, or IP address.  
    Just opened the web filtering log and wow there is lot
    There isn't anything magic or tricky in the logs, most of the information in a log line you won't need for your purposes.  Take a minute to look at one log line and see what is in there.  That'll tell you what you need and what you can ignore for this issue.  Do your testing from one workstation/laptop/device, that way you only need to look at the lines for that one IP.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    If you have command line access to the box, look at /var/log/http.log for the underlying log file.  Then you can tail, grep, less, pipe, perl, monkeydance, or whatever you want to make it readable.  [:)]
Unfiltered HTML