Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 1923 views
  • Users 0 members are here
Options
Suggested

[7.080] Problems with HTTP-Proxy - Allowed networks

JuergenH
Hi.

I have defined a network group with two includes hosts (192.168.18.79 and 192.168.18.241).

Another computer with the IP 192.168.18.78 could access the HTTP-Proxy configured as transparent proxy. I thought that this IP could not use the proxy.

Regards Juergen
  • 0
    Hi.

    If the allowed network is only one of the hosts (192.168.18.241) and not the group with the two IPs (see above) the problem ist the same.

    regards Juergen
  • 0 in reply to JuergenH
    Hi juergen, 

    just to be sure i understood it correctly. 

    You configured the HTTP proxy in transparent mode and added a single host '192.168.18.241' and tried to access the proxy (without enabling the proxy setting in the browser) with another host and he automatically accessed the proxy?

    Or did you configure the browser to use the http proxy and than it worked?

    What rules do you have in the packet filer ruleset?

    thanks
    gert
  • 0
    Hi Gert,

    the proxy works in transparent mode - no browser proxy configuration configured.

    Normally i use my complete network (192.168.18.0/24 as allowed network but i testet with a very reduced allowed network in proxy-global configuration (in one case a group of two single hosts - in another case only with a single host).

    But in both cases another computer could access through the proxy to the internet.
    I hoped that this computer could not because of a packet filter with a configured time event (my daughter should go to bed!).

    I hope this explantion could help.

    regards Juergen
  • 0 in reply to JuergenH
    Hi Gert,

    do you need some more details?

    Regards Juergen
  • 0 in reply to JuergenH
    Hi JuergenH,
    did you have the proxy working under v7.011 or earlier versions. What you are experiencing sounds like a default access setup problem.

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi Ian.

    I used 7.011 before, updated to 7.075 (no fresh installation) and then to 7.080.

    Before my test I used the "internal (Network)" in every configuration without changes.

    The used single host and the hosts in the network group have IP numbers in the internal Network.

    So there are two possible bugs / errors:
    1. single hosts or network groups are not allowed to be used in the "DNS-allowed networks" - so it should not be possible to define them.
    or
    2. single hosts / network groups are allowed to be used - then the definion is not interpreted correct.

    regards Juergen
  • 0 in reply to JuergenH
    Hi JuergenH,
    I have a very extensive set of HTTP proxy rules in place for similar reasons to you. I use the proxy in standard mode.
    One PC (defined in the service->network tab) is in the time managed access profiles and another 6 PCs/laptops/linux boxes are in a group definition in the open access profile.

    All devices are defined in the services->network tab. It took me a long time to understand how to make it work. Most of the problems I had centered around the default (fallback) configuration. If that is setup wrong you will have open access regardless of the other profiles you have setup.

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi Ian.

    Thank you for your hints. The reduction of the allowed networks was only a test in a special situation.
    But you are right, it was a hard work to configure the http proxy because of other errors in 7.011 i used before.
    I use the proxy in transparant mode to force all http traffic through the virus check.

    -> In combination with a very hard security leck in the astaro solution, i think. If the proxy is active the packet filters are not in use (access to customer networks).

    I have defined the standard proxy configuration with categorie filters and one profile (for a network group) with time event based filters (not to allow any internet access via http in the defined time intervals). I defined another profile to allow everything allways for another network group.

    This works fine in 7.011. But in 7.075 / 7.080 there is a confirmed error with time event based filters in proxy profiles.

    To ship around this problem i played with the allowed networks - and find the problems described in this thread.

    regard Juergen
  • 0 in reply to JuergenH
    Hi JuergenH,
    I use the HTTP proxy in standard mode so I can force all web traffic through it and have it scanned. I also add extra ports, like some of the game updates etc, the downloads also get scanned if they are small enough.

    At this stage I haven't seen any issues with the time management in the http proxy.

    I do have to re-do some tests I was doing earlier and see they have the same result.

    The new proxy does seem to work a lot faster and so far no categorisation errors.

    From your previous threads I still think you have a configuration issue that didn't show up under v7.011 or the translation to the new proxy has not worked correctly.

    I don't expect to see much happen with only one user at the moment.

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi Ian.

    Please don't misunderstand me. My proxy works, the time events are usable (with some actual problems). I use the transparant mode because i dont have to config the PCs in my network (6 PCs, average 3 Windows user on every PC (not astaro-defined users), 2 Browser types).

    I have isolated the time event problems in another thread. During this tests i found the configuration or interpretation error described in this thread.

    regards Juergen