Upstream-Proxy nur für bestimmte Domains

Hallo LDi,

Vielen Dank, dass Sie sich an die Community gewandt haben. So können Sie den Upstream-Proxy in XG verwenden:

> https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Routing/UpstreamProxy/RoutingConnectParentProxyLAN/index.html

> https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Routing/UpstreamProxy/index.html

> https://support.sophos.com/support/s/article/KB-000035927?language=en_US

Hallo,

ich denke, das ist nicht so einfach.

Die Unterscheidung, ob ein Upstream-Proxy verwendet werden soll oder nicht, muss innerhalb einer FW-Rule getroffen werden.

Da DPI keinen Upstream-Proxy unterstützt, wäre das mit der Einstellung "nutze Proxy anstatt DPI" steuerbar.

Nun müssen noch alle Domänen die den Proxy verwenden sollen (via DNS-Hosts oder besser deren IP's) als Ziel-IP's in der FW-Rule angegeben werden.

Soweit die Theorie... wir haben das in einem Verwaltungsnetz sehr schön so realisiert. Allerdings ist der Ziel-IP-Bereich für den Proxy privat und gut einzugrenzen ..  und der Rest ist halt "Internet" ohne Upstream-Proxy. 

Die Anleitung, wie der Upstream-Proxy selber zu konfigurieren ist, hatte Vivek Jagad ja bereits verlinkt. 

Hallo zusammen,

zunächst mal vielen Dank für die flotten Antworten.

@ Dirk, selbige Lösung hatte ich mir auch so vorgestellt. Bei uns handelt es sich auch um ein Verwaltungsnetz, also vermutlich um in etwa dieselben Anforderungen.

Jedoch scheitert sie bei mir daran, dass der Upstream-Proxy auch dann angesprochen wird, wenn "nutze Proxy anstatt DPI" nicht in der FW-Rule angehakt ist. Ich kann also diese Unterscheidung nicht treffen.. Er geht einfach immer auf den Upstream-Proxy. Oder ist diese Lösung evtl. ab v19 nicht mehr möglich?

Hallo LDi,

Standardmäßig wird die DPI-Engine anstelle des Webproxys von SFOS verwendet. Die DPI-Engine erkennt und filtert HTTP- und SSL/TLS-Datenverkehr auf jedem Port. Der Web-Proxy verarbeitet Datenverkehr transparent nur an den TCP-Ports 80 und 443.

Sie haben bei Verwendung des Upstream-Proxys die Option "Web-Proxy statt DPI-Engine verwenden". muss aktiviert sein.

Verwenden Sie nur einen "Upstream-Proxy" ODER "Implementieren Sie transparente Subnetz-Gateways mit Proxy-ARP". ODER Senden Sie Webanfragen über einen Upstream-Proxy im LAN"

Da ich alle drei Artikel der Knowledge Base oben geteilt habe.

Hallo LDi,

Hast du das mit dem Log abgeglichen?

Ist es wirklich die "weiter unten" liegende Regel ohne den "Proxy statt DPI" Haken, welche die Traffic zum Upstream-Proxy schickt?

Arbeitet der Proxy Transparent, oder ist bei den Clients ein Proxy eingetragen (dann wäre das geschilderte Verhalten zu erwarten)

Auf V19 bin ich da noch nicht. Wäre aber eine böse Überraschung, wenn es dadran liegt.

Ich würde gerne das einmal kurz aufrollen: 

DPI ist ein Transparentes Protokoll und kein Proxy. Das bedeutet, DPI kann technisch keinen Upstream Proxy unterstützen. Bei DPI fragt der Client direkt den Server an. Man kann dabei nicht den Verkehr von A auf B umziehen. 

Wenn man den Direct/Standard Proxy auf Port8080 nutzt, ist das was anderes. Dort kann man das theoretisch machen (Wie die UTM das tut). Jedoch wurde in SFOS nur ein Parent Proxy implementiert. Das bedeutet, bei Direct Proxy wird immer der Parent Proxy verwendet. 

Was man also machen kann: Man kann mit der WPAD arbeiten. Man lässt den Client die Upstream Proxy Websites über WPAD auf Port8080 ansprechen und schaut in diesen Verkehr nicht rein.

LAN to WAN lässt man in der WPAD mit "DIRECT" ins Internet. Dadurch kann die Firewall diesen Traffic mit DPI aufgreifen. 

Theoretisch könnte man sogar den Port8080 Traffic inspizieren, jedoch fehlt hier ein Stück Software, dass das 100% unterstützt. Wenn man den Proxy Traffic untersucht, das heißt Client to Parent Proxy, dann kann man keine Block Page laden.