Criar regra de bypass na Sophos Firewall
É possível desativar Web filter, Intrusion prevention, Application Control, Advanced Threat Protection ou outras funções de segurança na firewall. No entanto, o tráfego continua a passar pelo filtro de pacotes. Para contornar também esta filtragem, existe a regra de bypass. Quando é ativada para um host ou uma rede, o tráfego especificado contorna a filtragem stateful da firewall e as respetivas funções de segurança.
Comandos para a regra de bypass
Ligue-se à firewall via SSH para abrir a Device Console. Depois, são necessários os seguintes comandos.
Criar regra de bypass
Neste exemplo, queremos criar uma regra da rede 192.168.33.0/24 para a rede 192.168.46.0/24.
set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.33.0 source_netmask 255.255.255.0 dest_network 192.168.46.0 dest_netmask 255.255.255.0
A regra inversa também não pode faltar, para que o tráfego da rede de destino para a rede de origem passe igualmente pela regra de bypass.
set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.46.0 source_netmask 255.255.255.0 dest_network 192.168.33.0 dest_netmask 255.255.255.0
⚠️ A regra de bypass deixa passar todo o tráfego especificado. Por isso, deixa de ser necessário criar regras de firewall para esse tráfego e ele também deixa de aparecer no LogViewer. Só deve criar uma regra deste tipo se souber exatamente o que está a fazer e estiver consciente do risco de segurança. A firewall deixa simplesmente passar o tráfego, e as funções de proteção deixam de se aplicar à rede indicada.
Mostrar regras
Com o seguinte comando, pode ver que regras de bypass estão configuradas na firewall.
show advanced-firewall
Eliminar regra de bypass
O comando para eliminar é quase idêntico ao comando usado para criar a regra. Em vez de add, usa-se del.
set advanced-firewall bypass-stateful-firewall-config del source_network 192.168.33.0 source_netmask 255.255.255.0 dest_network 192.168.46.0 dest_netmask 255.255.255.0