Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 6 replies
  • Answers 1 answer
  • Subscribers 6 subscribers
  • Views 489 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Upstream-Proxy nur für bestimmte Domains

LDi

Guten Morgen zusammen,

beim Umstieg von einer UTM auf eine XGS scheitert's im Moment nur noch an einer vermeintlichen Kleinigkeit.

Bei der UTM haben wir für ein paar vereinzelte Domains einen übergeordneten externen Proxy über Port 8080 angesprochen. Bei der XGS scheint es so zu sein, dass der Upstream-Proxy entweder gar nicht oder für den kompletten Traffic verwendet wird. Gibt es irgendeine Möglichkeit, irgendeinen Workaround, durch den man nur den Aufruf von ein paar vereinzelten Domains an den Upstream-Proxy schickt? Hat das irgendjemand so am Laufen?

Vielen, vielen Dank im Voraus und beste Grüße!



This thread was automatically locked due to age.
Parents
  • 0

    Hallo zusammen,

    zunächst mal vielen Dank für die flotten Antworten.

    @ Dirk, selbige Lösung hatte ich mir auch so vorgestellt. Bei uns handelt es sich auch um ein Verwaltungsnetz, also vermutlich um in etwa dieselben Anforderungen.

    Jedoch scheitert sie bei mir daran, dass der Upstream-Proxy auch dann angesprochen wird, wenn "nutze Proxy anstatt DPI" nicht in der FW-Rule angehakt ist. Ich kann also diese Unterscheidung nicht treffen.. Er geht einfach immer auf den Upstream-Proxy. Oder ist diese Lösung evtl. ab v19 nicht mehr möglich?

  • 0 in reply to LDi

    Hallo LDi,

    Hast du das mit dem Log abgeglichen?

    Ist es wirklich die "weiter unten" liegende Regel ohne den "Proxy statt DPI" Haken, welche die Traffic zum Upstream-Proxy schickt?

    Arbeitet der Proxy Transparent, oder ist bei den Clients ein Proxy eingetragen (dann wäre das geschilderte Verhalten zu erwarten)

    Auf V19 bin ich da noch nicht. Wäre aber eine böse Überraschung, wenn es dadran liegt.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • 0 in reply to LDi

    Hallo LDi,

    Hast du das mit dem Log abgeglichen?

    Ist es wirklich die "weiter unten" liegende Regel ohne den "Proxy statt DPI" Haken, welche die Traffic zum Upstream-Proxy schickt?

    Arbeitet der Proxy Transparent, oder ist bei den Clients ein Proxy eingetragen (dann wäre das geschilderte Verhalten zu erwarten)

    Auf V19 bin ich da noch nicht. Wäre aber eine böse Überraschung, wenn es dadran liegt.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • 0 in reply to dirkkotte

    Ich würde gerne das einmal kurz aufrollen: 

    DPI ist ein Transparentes Protokoll und kein Proxy. Das bedeutet, DPI kann technisch keinen Upstream Proxy unterstützen. Bei DPI fragt der Client direkt den Server an. Man kann dabei nicht den Verkehr von A auf B umziehen. 

    Wenn man den Direct/Standard Proxy auf Port8080 nutzt, ist das was anderes. Dort kann man das theoretisch machen (Wie die UTM das tut). Jedoch wurde in SFOS nur ein Parent Proxy implementiert. Das bedeutet, bei Direct Proxy wird immer der Parent Proxy verwendet. 

    Was man also machen kann: Man kann mit der WPAD arbeiten. Man lässt den Client die Upstream Proxy Websites über WPAD auf Port8080 ansprechen und schaut in diesen Verkehr nicht rein.

    LAN to WAN lässt man in der WPAD mit "DIRECT" ins Internet. Dadurch kann die Firewall diesen Traffic mit DPI aufgreifen. 

    Theoretisch könnte man sogar den Port8080 Traffic inspizieren, jedoch fehlt hier ein Stück Software, dass das 100% unterstützt. Wenn man den Proxy Traffic untersucht, das heißt Client to Parent Proxy, dann kann man keine Block Page laden. 

    __________________________________________________________________________________________________________________

Cookie Information Banner