Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 12148 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Confused about guest wifi network and firewall rules

jameshurrell
I have an SG210 with two wifi networks running off AP30s. The "corp" network is bridged to the internal network and this works fine. The "guest" network is a separate zone with is own DHCP server. All this was setup using the wizard.

Everything seems to work fine.

However, I've been doing some testing and I'm confused.

1) On a laptop connected only to the "guest" network I can browse the internet as expected - this is expressly allowed via the firewall rule that was created during the install of the "guest" network:

Wireless Guest Network (Network) > Web Surfing (http, https, http proxy and http webcache) > Internet IPv4

I then deactivated this firewall rule and I expected to no longer be able to browse websites on the "guest" network, but this is not the case... I can merrily browse away. How? The only other rule for the Wireless Guest Network is to allow Email protocols out.
 
2) I presumed that devices on the "guest" network were not able to access anything at all on the internal network, but it seems they can via http and https: i.e. on a laptop connected only to the "guest" network, I can access the web config page of my network printers on the internal network via http or https. I though it might be the default rule allowing traffic (i.e. the "internetl IPv4"):

Wireless Guest Network (Network) > Web Surfing (http, https, http proxy and http webcache) > Internet IPv4

But disabling this rule does nothing and I can still access the web config page of a network printer on the internal network. How? Am I naively thinking that by default all traffic between "guest" and internal network should be dropped, or is it setup differently?


This thread was automatically locked due to age.
  • 0
    Hi, 

    Do you have the HTTP Proxy (Web Protection) in transparent mode on the Guest network?

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    Yes I do... and actually as you were replying, I found this post: https://community.sophos.com/products/unified-threat-management/astaroorg/f/55/t/46719

    which at the end mentions the skip list.

    I found this skip list under "Web Protection" > "Filtering Options" > "Misc" and added the "Internal (Network)" to the destination list.

    However, it doesn't seem to have made any difference - I can still browse hosts on the internal network. Have I set it up the skip list correctly?
  • 0
    Ah!... That little checkbox in the Transparent mode skip list:

    Allow HTTP/S traffic for listed hosts/nets

    It was ticked... unticking it and traffic is blocked from guest to internal. Seems like that is the answer.

    And for the guest to external traffic ignoring the firewall rule, I guess the transparent proxy mode means that http/https traffic is bypassing the firewall rule?
  • 0
    And for the guest to external traffic ignoring the firewall rule, I guess the transparent proxy mode means that http/https traffic is bypassing the firewall rule
    Not exactly.  When using the Web Proxy (or any proxy for that matter), when you populate Allowed Networks, a "system level" firewall rule is created to allow the traffic, which has higher precedence than any user created manual firewall rule.    Rules are evaluated from highest precedence to lowest and if a match is found, no further processing takes place.  Your manual rule isn't bypassed, it is never evaluated against, because the proxy rule is hit first.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    Not exactly.  When using the Web Proxy (or any proxy for that matter), when you populate Allowed Networks, a "system level" firewall rule is created to allow the traffic, which has higher precedence than any user created manual firewall rule.    Rules are evaluated from highest precedence to lowest and if a match is found, no further processing takes place.  Your manual rule isn't bypassed, it is never evaluated against, because the proxy rule is hit first.


    Ah... thanks Scott - that explains it. And these "system" rules are not visible I guess - unlike the auto and user defined firewall rules?
  • 0
    Correct, not from WebAdmin.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    James, you can refer to #2 in Rulz for a good summary of what takes precedence.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML