Das Country Blocking in der Sophos UTM ist recht einfach einzuschalten. Will man aber eine Ausnahme zum Country Blocking einrichten, ist das schon etwas schwieriger. Die Hilfe in der UTM dazu ist etwas verwirrlich. Deshalb habe ich folgend mal beschrieben, wie Country Blocking Ausnahmen richtig eingerichtet werden.
Eine Country Blocking Ausnahme die für ein oder mehrere Länder gilt, wird wie folgt eingerichtet:
- Unter Network Protection – Firewall – Country Blocking Exceptions eine neue Ausnahme öffnen
- Unter „Skip blocking of these“ „All regions“ auswählen und die entsprechenden Countries selektieren, für die die Ausnahme gelten soll
- Unter „For all request“ „going to these“ auswählen
- Unter „Host/Networks“ den entsprechenden internen Host oder internes Netzwerk auswählen z.B. entsprechendes Interface wo der Netzwerkverkehr durch kommt
- Unter „Using these“ alle Services auswählen, für die die Ausnahme gelten soll.
Will man eine Country Blocking Ausnahme einrichten, die generell gilt, ist das Vorgehen wie folgt:
- Unter Network Protection – Firewall – Country Blocking Exceptions eine neue Ausnahme öffnen
- Unter „Skip blocking of these“ „All regions“ auswählen und keine Länder selektieren
- Unter „For all request“ „coming from these“ auswählen
- Unter „Host/Networks“ den entsprechenden externen Host oder externes Netzwerk auswählen z.B. Any oder Internet
- Unter „Using these“ alle Services auswählen, für die die Ausnahme gelten soll.
Zusammenfassend gilt:
- Befindet sich der Host/Network im internen Netz (z.B. Interface), darf die Länderliste nicht leer sein. Es muss also mind. Ein Land selektiert werden. Für diese wird dann auch die Ausnahme angewendet. Unter „For all request“ muss „going to these“ ausgewählt sein, da der Netzwerkverkehr von aussen auf diesen Host/Netzwerk geht.
- Befindet der Host/Network im Internet (z.B. Internet oder Any), muss die Länderliste leer sein. Wird dennoch ein Land aktiviert, bewirkt dies nichts. Die Ausnahme gilt trotzdem noch für alle Länder. Unter „For all reguest“ muss „coming from these“ ausgewählt sein, da der Netzwerkverkehr von diesem Host/Netzwerk kommt.
